Experts pleiten voor apart domein voor overheidswebsites in Nederland

Diverse experts pleiten voor het gebruik van een apart domein zoals .overheid voor overheidswebsites. Daardoor moeten Nederlanders beter doorhebben welke sites echt van de overheid zijn en welke nep zijn.

Door het gebruik van een wirwar aan domeinnamen is het lastig om na te gaan of het gaat om phishing, zeggen diverse experts tegen het AD. Onder meer advocaat Jan Gerrit Kroon en Eset-directeur Dave Maasland zeggen dat Nederland beter kan overstappen op een domein als .overheid of .gov, in plaats van de huidige .nl-sites.

Dat zou ervoor moeten zorgen dat Nederlanders overheidswebsites beter kunnen herkennen als sites van de overheid en daardoor minder in phishing via nepsites trappen. Het is onduidelijk hoe groot het probleem van phishing via nepsites van de Nederlandse overheid precies is en hoeveel dat probleem minder zou worden na het overstappen op een apart domein.

Update, 10.02 uur: De Rijksoverheid heeft al nagedacht over deze mogelijkheid, merkt tweaker OCN op. Een maand geleden verscheen daarover een rapport. "Het blijkt dat een uniforme domeinnaamextensie zorgt voor betere herkenning van overheidswebsites. Herkenning was groter nádat men uitleg kreeg dan voordat men uitleg kreeg (zoals in de huidige situatie, zonder domeinnaamextensie). Daarnaast is men beter in het herkennen van websites die niet van de overheid zijn na de uitleg. Ook blijkt dat voor de herkenning van frauduleuze websites die op die van de overheid lijken maar dat niet zijn (type 3), de domeinnaamextensie “.gov.nl” mensen beter helpt te herkennen dat dit géén overheidswebsites zijn. Voor de andere type websites vonden we geen verschil in welke domeinnaamextensie beter werkt. Subjectief gezien hebben burgers echter een voorkeur voor “.overheid.nl”."

Door Arnoud Wokke

Redacteur Tweakers

02-10-2023 • 08:20

241

Submitter: Ulysses

Reacties (241)

241
241
83
18
1
140

Sorteer op:

Weergave:

@arnoudwokke Toevallig heeft het ministerie afgelopen maand dit onderzoeksrapport uitgebracht https://www.rijksoverheid...iforme-domeinnaamextensie misschien mooie aanvulling aan het artikel?

Titel rapport: Herkenning van overheidswebsites: helpt een uniforme domeinnaamextensie?

[Reactie gewijzigd door ocn op 23 juli 2024 19:58]

Dus, om antwoord te geven op de onderzoeksvraag: dit onderzoek laat zien dat een uniforme
domeinnaamextensie burgers inderdaad helpt om snel en gemakkelijk te beoordelen of een website
daadwerkelijk van de overheid is.

[Reactie gewijzigd door Hopman42 op 23 juli 2024 19:58]

Het zou mooi zijn als banken ook zoiets kregen - .bank bijvoorbeeld.
Deze is er al: https://www.register.bank/. Op dit moment voornamelijk in gebruik door Amerikaanse banken, maar ik juich het toe voor de hele bankensector. Anders dan .nl of .com zit hier een gedegen validatie op, een beetje zoals het Extended Validation-traject bij SSL-certificaten. Je kan er redelijk zeker van zijn dat alleen geregistreerde banken een .bank-domein hebben. Bovendien vereisen zij allerlei veiligheidsmaatregelen, waaronder SSL+HSTS, DNSSEC en SPF/DMARC.
Op dit moment voornamelijk in gebruik door Amerikaanse banken
Kleine correctie: ALs je op de website op de map daar kijkt zie je een aantal Belgische en Duitse banken die deze domeinnaam gebruiken. Maar inderdaad nog te weinig.
Er zal gelet moeten worden op een extensie met letters die niet net als een I en een l (een ie en een el)
op elkaar lijken ;om maar van cyrillische fonts maar te zwijgen.
Dat lijkt een klein probleem maar vaak is de ene letter niet van de andere te onderscheiden en klik je alsnog op een foute link :)
Dat klopt wel voor de domeinnaam "voor de punt", maar het gaat hier op TLD's.
Je gaat het een heel stuk moeilijk krijgen een TLD op te tuigen die misbruik wil maken van typo's :P
hopelijk richt iemand dan de bank: opde
op :P
Met een tikkiediensturl: zet.geld.opde.bank ? :+
geldzatopde.bank :9
Ah, kiek! @Justdoit betaalt het bier!
Dit is een goede eerste stap.

Daarnaast wordt er vanuit websites ook code geladen van niet overheidswebsites.
Met de extensie noscipt merk je dat snel op.

Vanuit beheersoogpunt misschien te begrijpen dat naar andere bronnen wordt verwezen, maar ik zou ook graag verzekerd willen zijn dat alle code vanuit de overheidswebsite betrouwbaar is.

En daarnaast vraagt zo'n domeinklasse waarvan je denkt dat je bij de overheid zit, dat op een of andere manier duidelijk wordt aangegeven dat je de overheidswebsite gaat verlaten als je wordt doorgelinkt naar niet overheidswebsites.

Dus misschien dat er gelijk wat aandacht besteed kan worden aan deze punten die er nauw aan zijn gerelateerd.
LOL, ik dacht dat dit artikel over dat rapport van het ministerie ging.
Dat stond namelijk vrijdag op security.nl en dan gebeurt het regelmatig dat zoiets dan maandag op tweakers staat.
Dat gesprek met die experts is waarschijnlijk naar aanleiding van dit rapport geweest.
Arjen Lubach maakte met z'n Avondshow ook al een item over dit onderwerp en heeft uitgezocht hoeveel overheidwebsites er zijn en hoe verwarrend het allemaal is.

Item is hier te bekijken: https://youtu.be/CRmSlxj1mLM
Hij had al eerder items over hoe de overheid worstelt met ICT.

Digibetocratie:
https://www.youtube.com/watch?v=TRNJN_GQnRA

Ton Elias, de man die het rapport over ICT-falen bij de overheid presenteerde:
https://www.youtube.com/watch?v=53OESEG6CPI

Ze kunnen wel heel hip gaan doen met een eigen domein, maar het lijkt me handiger om het geld te gebruiken om iedereen die voor de overheid werkt eerst het Europees Computer Rijbewijs (ECDL) te laten halen ;)
Europees Computer Rijbewijs (ECDL)
Daar is een term die ik al een tijd niet meer had gehoord. Dat was, IIRC, ooit vooral voor Microsoft Office producten. Toentertijd vond ik het raar dat het zo specifiek op een setje programma's gericht was, en niet een soort algemene 'leer' vaardigheid (zoals dingen opzoeken, hoe programma's vaak werken, etc).
ECDL specificeert geen Microsoft Office, maar dat is wel waar zo'n beetje elke cursus zich op richt.

Eerlijk gezegd heb je aan de basisversie van het ECDL eigenlijk helemaal niks. Het was een goed idee in 2000, maar als je nu aankomt met "dit is het concept 'programma', dat is dus iets anders dan Windows" kun je nog steeds bijna niks met computers doen wat je ervoor ook niet al kon.

Dat gezegd hebbende, is het hoog tijd dat er op scholen een verplicht ICT-vak komt voor een paar jaar. Niet omdat iedereen moet leren programmeren, maar vooral omdat kinderen van tegenwoordig hun jeugd alles op telefoons en tablets doen, en daarmee het concept "mappen" en "bestanden" niet leren. "Hoe maak ik een ijklijn in Excel" kan me gestolen worden, maar "hoe scan ik een document" en "hoe sla ik een kopie op naar een USB-stick" mag wel geleerd worden. Hoog tijd dat iedere scholier bij het verlaten van de middelbare school een ECDL basisdiploma op zak krijgt, want werken zonder digitale vaardigheden is tegenwoordig amper mogelijk.

Hier heb je voorbeeldvragen voor het ECDL, ik denk niet dat de kennis die je hier opsteekt veel bijdraagt aan beleid maken, maar ze bevatten wel dingen die je toch wel mag verwachten van een volwassene geboren nadat Windows 95 uitgekomen is.
Niet omdat iedereen moet leren programmeren, maar vooral omdat kinderen van tegenwoordig hun jeugd alles op telefoons en tablets doen, en daarmee het concept "mappen" en "bestanden" niet leren.
De ultieme ironie hiervan is dat ik toevallig een paar jaar geleden programmeer-les gaf op een school, en bijna geen van die kids ook maar op afstand wist wat een bestandssysteem was, mappen of bestanden -- maar programmeren snapten ze *sneller* dan dat soort dingen.

Ik weet niet hoor, ik vind nog steeds dat het leren van programma-specifieke dingen het niet waard is om les over te geven, omdat het al snel onderuit wordt gehaald door de jaren. Leren dingen op te zoeken en (veilig) te proberen binnen een programma en rondom het OS lijkt mij betekenisvoller.
Ja, die Office-onzin hoeft van mij ook niet, maar het basisprogramma leert dingen als "werken met een bestandssysteem" en "bestanden comprimeren".

Het liefste zou kinderen geleerd worden zelf programma's uit te kunnen zoeken, maar dat vereist een bepaalde mate van creativiteit en interesse die niet ieder kind zal krijgen. Ik weet ook niet hoe je zoiets zou leren, maar misschien dat jij als docent daar wel wat voor weet.

Dit probleem doet me denken aan de basisschool, waar een jongen met leerproblemen conceptueel moeite had met het concept "rekenen" en uit frustratie maar sommetjes ging stampen voor de toets. Dat is exact hoe veel computertoetsen werken, maar ik heb geen idee hoe ik zo'n kind het concept "getallen" zou moeten leren.
Ik leerde op de basisschool nog vermenigvuldigen door tafels uit mijn hoofd te moeten leren.
Dat is hetzelfde als "sommetjes stampen".
Tafels leren misschien, maar dit was alles van optellen tot delen. Sommetjes onder de 30 kun je nog wel leren, maar zodra je 45-17 begint te stampen, wordt het toch ineens heel lastig om je rekentoets te maken.
Op mijn laptop overal mappen. Zonder mappen zou ik niet kunnen werken. Op de smartphone of de tab gebruik ik zelden een map. Maak ik een foto of een filmpje, dan komt dit automatisch in de juiste map en ik denk dat jongeren ook zo denken: ik weet waar ik mijn opname terug kan vinden.
En daarmee is het dus weer een goed-sluitende abstractielaag erbij. Die zijn an sich niet erg (je hebt er een heleboel in je PC, voordat jij uiteindelijk wat doet) maar het is soms wel handig om a. te weten dat dit abstracties zijn en b. een beetje te snappen wat eronder zit.
Weten of je 'map' op jouw device alleen staat, of automagisch gedeeld wordt met X, of dat het eigenlijk een snelkoppeling is naar /dev/null, is toch wel handig. (ok, die laatste is voor de tech heads)

Daarnaast het concept van privacy, en snappen dat wat je online zet ook forever online blijft (DMCA-verzoeken, vergeet-bevelen en wissen van je browsergeschiedenis ten spijt). Ik vind het basiskennis, maar helaas is niet iedereen dat met me eens.
Ik vind het basiskennis, maar helaas is niet iedereen dat met me eens.
10 jaar geleden zou ik het met je eens zijn geweest, maar nu is dit volgens mij niet belangrijk meer. (Een wijziging: ik dacht dat je het over mappen had) Toen ik mijn eerste MSX-computer kocht was het heel gewoon dat mensen iets van programmeren afwist, al was het maar in Basic. Door te programmeren leerde je dat je programma's compact moesten zijn, want je had weinig werkgeheugen op je computer. Daarnaast begreep je ook hoe programma's een beetje in elkaar staken. Dit is voor de leek volkomen onbelangrijk tegenwoordig en als je het niet hoeft te gebruiken is een map ook onbelangrijk en zeker een mappenstructuur. Tegenwoordig hoeft de gebruiker niets meer te weten dan hoe iets gebruikt moet worden. Vroeger wist ik precies wat er onder de motorkap van mijn auto school, maar sinds ik een elektrische auto heb, heb ik nog nooit de motorkap geopend.
Bij de wijziging: ik vind ook dat beveiliging nog steeds tot de basiskennis moet behoren, nu meer dan ooit. En onder beveiliging versta ik ook de beveiliging van jezelf.

[Reactie gewijzigd door Aldy op 23 juli 2024 19:58]

Het probleem dat ik dan meteen zie is dat er enorm veel mensen bij de overheid werken die óf nooit door zo'n cursus/examen heen zouden komen, óf waardoor de drempel zo laag moet liggen dat het zonde van het geld is.

Als je kijkt naar de gemiddelde organisatie van meer dan 100 man dan zie je al genoeg figuren die amper een filmpje in een cursus gestart krijgen, laat staan dat ze genoeg grip op ICT krijgen om echt bekwaam genoemd te kunnen worden.

Ervaring leert dat het interessanter is om héle goede contactpersonen tussen de ICT-afdelingen en de stakeholders te zetten dan om de stakeholders op te leiden, want zelfs al zijn die van hoog niveau vwb ICT dan blijven ze hun eigen wensen en vooroordelen altijd voortrekken, en dan blijf je dezelfde situatie houden als nu.
Het grote verschil is wel dat in een normaal bedrijf diegene die weinig van IT begrijpen weinig invloed hebben op de infrastructuur/software keuzes enz. Echter bij de overheid lijkt eerder het omgekeerde te gebeuren, hoe groter de kneus hoe hoger de positie. Wanpresteren komt overal voor maar de overheid maakt dit toch wel bijzonder bont zo ook specifiek met alles wat maar van doen heeft met IT.
Maar dat is dus ook het probleem dat je moet oplossen door correcte scheiding van stakeholders en implementatie. De overheid zou gewoon intern een aanbesteding moeten doen, niet meteen extern, en vanuit het interne IT-team kan dan weer extern geschakeld worden indien nodig.

MinVWS heeft met de open-source corona app laten zien dat ze het toch echt wel kunnen, zelfs al was het vele malen duurder dan gebudgetteerd en heeft het allemaal langer geduurd. Dat lijkt me een mooie basis om intern iets op te starten voor alle delen van de overheid, zelfs al is het maar een commissie van bekwame IT'ers waar alle IT-projecten van de overheid doorheen meoten.
Je zegt het goed. Dit was overigens ook in bedrijfsleven wel zo maar al snel werd onderkend dat dit natuurlijk tot ellende leidde. Dus hoge positie is meestal niet equivalent aan veel inspraak op ICT gebied. Wel natuurlijk over budgetten (dus dat kan nog wel problemen geven). Bij de overheid zoekt elke (top)ambtenaar naar een manier om ergens z'n stempel op te drukken - omdat we nu eenmaal een wildgroei in ambtenaren hebben...
Tja in het normale verkeer helpt een rijbewijs ook heel goed, zo mist je wel eens de pont, metro of kom je in Zagreb uit, met je rijbewijs. En zo zijn er meer gevallen.

En hoeveel mensen met een rijbewijs zijn in staat hun theorie nogmaals te halen. Ik was jaren geleden op een beurs waar het cbr een test toets deed en dat zag er niet best uit voor veel deelnemers...
Voor het ongeval risico maakt het dan niet weer uit heeft men in de UK gemeten

Begrijp me niet verkeerd scholing en bewust worden is goed, dus dat je een cursus doet prima. Maar noem het geen rijbewijs.....

Verder prima dat het allemaal onder 1 (sub/tld)domein komt te hangen, echter als de mensen nu al hun url niet controleren waarom zouden ze het dan wel doen als het een overheid domein is. Het is niet dat ze nu niet weten of het domein goed is, maar men controleert het niet goed genoeg.... Redenen te over hiervoor, onwetenheid, onkunde of laskheid....
Overheid rijbewijs voor de computer terwijl we het hebben over een probleem dat ontstaat omdat mensen het certificaat niet checken?
Een aparte TLD gaat dat niet oplossen natuurlijk, ik zie het aantal sites alleen maar hoger worden door dit voorstel.
De federale overheid in België lost dat mooi op door alle websites onder *.fgov.be te draaien.
Helaas is het België, en heb je dus ook vlaanderen.be en wallonie.be en hoop website van steden die allemaal hun eigen domein hebben.

Maar ik denk wel degelijk dat het een oplossing kan zijn als ALLE websites van een land onder een bepaald domain draaien. Hoeft daarvoor geen TLD te zijn. Moet het imho wel doorgetrokken worden op alles, dus ook steden en gemeentes.
Tja, dan moet je wel gelijk ook blokkeren dat iemand fg0v.be te pakken kan krijgen, of iets wat er op lijkt.
Daar zit het grootste gevar in. Bij een TLD wordt dat al lastiger, al zul je dan nog mensen hebben die het verschil niet zien tussen amsterdam.overheid en amsterdam.0verheid.nl
Het nadeel is dat er geen manier is om bijv. diacritics (ámsterdam.nl vs amsterdam.nl) te filteren, en hoewel iets als punycode wel helpt bij het uit elkaar houden van diverse varianten kun je daar niet makkelijk mee filteren.
Diacritics zijn een vraagstuk waar gewoon geen (goed) antwoord op is behalve het gebruik van een third-party library die er 'zo veel mogelijk' in heeft zitten, want er zijn enorm veel tegens die niet zomaar om te zetten zijn naar een simpelere variant en er zijn allerlei andere combinaties mogelijk waar je rekening mee zou moeten houden.

Heel leuk om 0verheid.nl te blokkeren, maar dan moet je dus ok överheid.nl, òverheid.nl, óverheid.nl etc gaan blokkeren..

[Reactie gewijzigd door Oon op 23 juli 2024 19:58]

Daarom is .overheid ook beter dan overheid.nl. Een TLD kun je wat lastiger faken.
Al blijft de menselijke factor dan alsnog een probleem.
.overheid zou wel verwarrend kunnen zijn voor Vlamingen. Een Vlaming kan al snel denken dat hij op een Belgische overheidswebsite zit terwijl het dan een Nederlandse is.
Klopt maar je hebt ook .politie :)
Dat zal ie snel genoeg doorhebben :)
Wellicht dat .31 dan de simpelste oplossing is.
Nee, TLD's met alleen cijfers zijn niet* toegestaan.

* Technisch gezien is dit een tijdje incorrect geweest. De eerste RFC voor TLDs beschreef dat ze niet met een cijfer mochten beginnen maar cijfers verder waren toegestaan. Dit is later aangepast en -technisch gezien- zou dit toen mogen. Echter support was ... maginaal. Een groot probleem is 1.2.3.31, is dit een domein (valide maar dit was duidelijk een special case en dus niet toegelaten in de RFCs) of een ipv4 adres?
Uiteindelijk heeft de ICANN dit in de guidelines opgelost door enkel alphabetische toe te staan bij nieuwe aanvragen.

Voor zover ik weet ondersteunt(de) geen enkele browser numerieke tld's maar ik kan mij hier in vergissen.
Hét grote voordeel van de overheid is dat ze wetten kunnen maken, en dus ook dergelijke phishing strafbaar kunnen stellen. Daarvoor hoef je niet eens precies in de wet te beschrijven wat de exacte vorm is; dat is aan de rechter. En die heeft dan een concrete zaak voor zich, met een concrete domeinnaam.

En indien je dit per wet regelt, kan SIDN ook makkelijker dergelijke namen preventief blokkeren.
Phishing is toch al strafbaar? :)

Het probleem is dat veel systemen automatisch zijn en ook SIDN hierin beperkt is omdat het herkennen van visueel gelijke domeinnamen mbv diakritische tekens zo goed als onmogelijk is. Dan zou er dus altijd een handmatige controle moeten plaatsvinden en met hoeveel domeinnamen iedere dag geregistreerd worden zou dat niet bij te houden zijn.
Het punt is dat phishing pas verderop strafbaar is. Dit is een idee om het in de kiem te smoren, als bij SIDN. En nee, het is niet nodig om een handmatige controle te doen als het al triviaal duidelijk is dat de URL niet op overheid.nl lijkt. Je kunt 99.9% bij voorbaat uitsluiten.
belgie.be bestaat ook waaronder ook nog een aantal sites onder vallen. Al zijn er sommige (federale) overheidswebsites die hun eigen domein hebben.

myhealthviewer is er bijvoorbeeld zo een: https://www.myhealthviewer.be/#/login

Zo zijn er ongetwijfeld nog zoals mypension om u pensioensdossier te raadplegen. Of de govapp waar geen kat gebruik van maakt is er nog zo een: https://www.govapp.be/nl/index.html

Wat e-health in België betreft, zie je gewoonweg de bomen door het bos niet meer omdat er zoveel verschillende platformen zijn om u dossier te raadplegen: https://www.vrt.be/vrtnws...formen-overzicht-bewaren/

[Reactie gewijzigd door SilkensJ op 23 juli 2024 19:58]

Hetzelfde in Oostenrijk, waar alles van de overheid onder "*.gv.at" valt.

apart is wel dat de belastingdienst in Oostenrijk dan weer adverteert met 'finanzonline.at', wat weer doorverwijst naar een .gv.at website. Leuker kunnen we het niet maken. Wel ingewikkelder.

[Reactie gewijzigd door Garyu op 23 juli 2024 19:58]

België is niet uniek in het hebben van verschillende zelfstandige organisaties in het land. Dat hebben veel democratieën, zoals ook Nederland.

Van een plan dat mogelijk kan helpen problemen te voorkomen verwacht ik dan wel meer dan simpel stellen dat je als democratie maar even meer belang moet hechten aan dit plan in plaats van waarom de zelfstandigheid er is. Zeker als er bij het plan geen enkel aandacht lijkt te zijn wat er allemaal nodig is om het wel te laten slagen om criminaliteit te verminderen.

Het probleem van oplichting met domeinen is vaak niet dat er geen eenduidigheid is, maar dat mensen zich laten verleiden niet op te letten. Je voorbeeld geeft het al aan: criminelen maken net zo goed slachtoffers met of zonder eenduidig domein. Als het ze niet meer via te afwijkende domeinen lukt gebruiken ze net zo goed meer gelijkende domeinen waarbij ze niet zomaar minder succesvol zijn.

[Reactie gewijzigd door kodak op 23 juli 2024 19:58]

Het aantal sites hoeft ook niet omlaag. De betrouwbaarheid moet omhoog. Door een ander top level domain te gebruiken die niet te registreren is door oplichters zou je er als burger vanuit mogen gaan dat ieder domein die eindigt op .overheid ook daadwerkelijk van de overheid is.
Waarom dan niet meteen beide? (dus aantal omlaag en ander toplevel domein).
Zo'n extensie moet inderdaad gepaard gaan met een goede websitestrategie.
Het lost het aantal websites niet op, maar maakt het wel duidelijker dat een website écht van de overheid is.
Totdat een of andere ambtenaar z'n carrière weggooit door een derde partij zo'n domeinnaam te geven, die dan binnen de weken die het gaat duren om die offline te halen al miljoenen heeft verdiend met fraude/oplichting :+
Het kan in ieder geval helpen om een centraal overzicht te krijgen van domeinnamen van de overheid.

Ik denk dat de overheid honderden domeinen in gebruik heeft waarvan eigenlijk niemand weet dat ze bestaan. In bepaalde kringen is het gewoon om voor ieder project een eigen website op te zetten. Drie maanden later, als de ingehuurde projectleider is vertrokken en het projectteam opgeheven, is iedereen al weer vergeten dat dit website bestaat. Zo'n site kan nog jaren een sluimerend bestaan leven.

Een centraal overzicht van alles sites is al heel waardevol. De mogelijkheid om domeinen uit te schakelen als dat nodig is (vergeten website, hack, zo iets) is ook erg handig.
En dat zou je dus al gemakkelijk kunnen oplossen door een eigen TLD. Dan heb je automatisch een overzicht van alle domeinen/websites en ook controle over de toelating van nieuwe domeinen.

Persoonlijk zou ik het een goede ontwikkeling vinden. Want zelfs als techneut weet ik vaak niet of iets nu wel/niet van de overheid is.
Ik snap je punt, NPO heeft een eigen platform voor hun programma's van belastinggeld maar ergens is het beschamend dat de kwaliteit op youtube beter is dan wat ze zelf hosten. De makers zetten het immers met een reden zelf op het platform van een derde toch?
Ja, namelijk dat het bereik van YouTube veel groter is dan dat van NPO start. Niet omwille van videokwaliteit.

[Reactie gewijzigd door CyBeR op 23 juli 2024 19:58]

Het oorspronkelijke idee achter de NPO is dat de overheid een infrastructuur opzet en onderhoudt voor de omroepen om video (en audio) te delen. Maar het is 2023, er zijn genoeg marktpartijen die dat grootschalig doen. En zoals hier blijkt, ook béter dan de NPO.

Wordt het dan niet tijd om afscheid van de NPO te nemen en deze infrastructuur commercieel aan te besteden?
Probleem is dat de NPO ook een platform biedt voor content die commercieel niet interessant is. Sommige mensen stellen toch prijs op klassieke concerten, duiding zonder sensatie en politiek etc. Het blijft een kerntaak van de NPO om ook dergelijke groepen te bedienen.
Dat is de content productie; dat doen de omroepen. Ik heb het hier over de infrastructuur rol van de NPO. Bits van Hilversum naar jou en mij krijgen. Dat is in ultimo gewoon een cloudservice.
Men vindt de salarissen daarbij de NPO belangrijker dan de kwaliteit, politiek spelletje.
"Dit programma kan in deze browser helaas niet worden afgespeeld (22)"

Mooie melding. Lekker duidelijk ook. Helpt me direct het probleem op te lossen.
En dan ook javascript van een reeks wazige domeinen laden.

Het zal wel met een van mijn beveiligingen/extensies te maken hebben, maar is het nou teveel gevraagd om je foutmeldingen te documenteren en ze klikbaar te maken? Het is nota bene een met publiek geld gefinancierd platform.

Youtube heeft dat soort problemen niet.
En dan zie je nog maar een paar voorbeelden van sites. Maar toch iedere keer weer een totaal andere huisstijl, want het moet natuurlijk passend bij het thema en de doelgroep. Hergebruiken van een design system zit er bijna niet bij, dus je ziet wel hoe nuttig ze het geld besteden.

Tikkeltje schrikbarend hoeveel websites de overheid heeft.
Het designsysteem van onze overheid is juist hartstikke goed. Hier een leuke video daarover: https://www.youtube.com/watch?v=nMwUOWCnQ6Q
Daar wil ik gerust in meegaan, maar ik refereerde vooral naar de verschillende thema websites, zoals te zien in de variëteit aan websites in de video van Lubach, reeds al gepost in een van de berichten hier.

https://youtu.be/CRmSlxj1mLM

Daar zie je toch echt een wirwar-ik-bedenk-zelf-wat-leuks aan stijlen.
Verwarrend?

Gratis uitdelen van belastingcenten is t.
Experts hebben eerder geadviseerd dat de overheid websites rationaliseren:
https://youtu.be/CRmSlxj1mLM?feature=shared

Maar blijkbaar lukt dat niet, dus dan maar deze noodgreep; een eigen TLD.
En Rara zelfs als die er komt, zoals bij .gov, zullen er onderdelen bij de overheid zijn die er omheen werken met een domeinnaam op een andere TLD voor campagnes etc. want het marketing bureau mocht X of Y niet, of wist niet dat het niet mocht en de reclame uitingen zijn al gedrukt en geen extra budget om het aan te passen, "zo erg is het toch niet" etc.

Ik heb jaren bij een bedrijf gewerkt met een single domain policy om te zorgen dat klanten en medewerkers zekerheid hebben dat alleen als dat domein gebruikt wordt, dat het van ons is. Zodat je mensen traint dat ze iets niet vertrouwen als het van een ander domein komt.
En Rara, uitgerekend de security afdeling kwam met andere domeinnamen, subdomein namen van vendors etc. waarom voor awareness trainingen werden gegeven.. Je begrijpt dat daarna het hek van de dam was en we veel meer "zal wel kloppen" miskliks hebben van medewerkers. De security afdeling heeft er dus zelf voor gezorgd dat ze een bak meer werk kregen, het security budget is van 20M uiteindelijk naar 45M uitgebreid sinds dit voorval.

Het dicht houden van zulk beleid is het aller lastigste dat bestaat. Het onderschatten van de impact op het klant en medewerker gedrag bij afwijkingen van het beleid zorgt voor extreem hoge kosten en het te niet doen van de jaren lange zorgvuldig gebouwde mindset bij je bezoekers: niet X, niet vertrouwen. Een hoge pief die het onderschat of misbruikt voor eigen politieke belang en gone.
Je kunt het natuurlijk in de wet vastleggen en mensen beboeten als ze dit toelaten binnen een instantie. Dan is het gauw klaar natuurlijk, "het zal wel goed zijn" met een hoge boete is toch een stuk moeilijker.
"mensen beboeten als ze dit toelaten binnen een instantie".

Nee, dat kan hier niet. Pikmeer arrest, ambtenaren staan in dit soort gevallen boven de wet.

Wat wél kan is bij wet contracten nietig verklaren als ze een clausule bevatten waardoor een overheidssire gehost zou worden op een niet-overheids domein. Dat is gewoon contractrecht, maar het heeft tot gevolg dat partijen die zaken met de overheid doen een zakelijk belang hebben bij het niet overtreden van de regels. Dus dat marketing buro hierboven? Als die een site extern hosten, dan kunnen ze naar hun geld fluiten. Geen contract, geen betaling.
Ook dat arrest volgt uit wetten natuurlijk, uiteindelijk kan het hele kaartenhuis aan wetten aangepast worden natuurlijk, als men maar wil.

En er is vast en list te bedenken om instanties te ontdoen van een deel van hun budget als het niet met iets wat een "boete" heet mag. En je kunt het altijd de marketing bureaus zelf aanrekenen natuurlijk, dat zijn gewoon commerciële partijen.
Wat wél kan is bij wet contracten nietig verklaren als ze een clausule bevatten waardoor een overheidssire gehost zou worden op een niet-overheids domein. Dat is gewoon contractrecht, maar het heeft tot gevolg dat partijen die zaken met de overheid doen een zakelijk belang hebben bij het niet overtreden van de regels.
Misschien dat je dat soort wetten kan maken, daar ben ik nog niet zo zeker van, maar ik vind het in ieder geval geen goed idee. Het is de gevolgen van de incompetentie van je eigen organisatie afwentelen op externe partijen, door misbruik van het contract recht.

Dit soort dingen maakt het ook moeilijker en risicovoller zaken te doen met de overheid. Risico's moeten afgedekt worden, dus overheid ICT projecten worden nog duurder.

Natuurlijk wordt het ook duurder als fouten, gemaakt door het eigen onvermogen om de eisen goed te formuleren, gecorrigeerd moeten worden, maar dan is het tenminste duidelijk waar de fout ligt.
Correct, overheidsprojecten worden inderdaad duurder door de incompetentie van de overheid. Maar dat is dus opzettelijk. We hebben in de laatste 10 jaar gezien dat ICT-competentie bij de overheid geen realistische verwachting is. Op dit punt maakt het niet meer uit waarom het niet lukt, we moeten het simpelweg als een gegeven accepteren, en ook de consequenties. En dan kies ik er dus ook voor om wat meer te betalen, in plaats van weer het volgende gefaalde project.
Ook bij boetes blijft het een kosten overweging: is het opnieuw editen en inspreken van de video en printen / distributie van het promotie materiaal duurder dan de boete; accepteer de boete. En het kwaad is geschiet.

En als commercials/advertenties al zijn ingekocht: kunnen we dit wijzigen voor die deadline?

Kans is groot dat er ook bij boetes dingen doorheen blijven schieten. Er zijn ook instanties die bij overschrijding van het budget simpelweg dat kwijtgescholden krijgen. En in het ergste geval kan er bewust voor gekozen worden als er iemand politiek of privé financieel voordeel heeft bij een reorganisatie (kosten reductie).

[Reactie gewijzigd door djwice op 23 juli 2024 19:58]

Een deel van een oplossing zit waarschijnlijk in een goede aanvraagprocedure. Want op het moment dat je de aanvraagprocedure te ingewikkeld/langdurig maakt gaan mensen er omheen werken. Aan de andere kant moet er nogal wat geregeld worden aan de achterkant en moet het ook allemaal goed uitgevoerd worden.

Vergelijk het met een schilderijtje ophangen. Thuis pak je even een hamer en een spijker. In een fabriek moet je je aan allerlei regels houden en duurt het ophangen van het schilderij 4 uur en heb je minimaal 2 mensen nodig.
De conservator en iemand van facilitaire zaken inderdaad, die het schilderij aan het ophangsysteem koppelt.

Thuis is het bij ons een boormachine, stofzuiger, plug, schroef, schroevendraaier en ook twee mensen, want in je eentje stofzuigen en klopboren tegelijk is lastig.

[Reactie gewijzigd door djwice op 23 juli 2024 19:58]

Vanuit men beroep als IT architect al jaren voorstander voor striktere naamgeving beleiden voor tld's , zeker ook voor webshops. Het kan allemaal vrij eenvoudig. .overheid voor overheid , een vaste (zeg maar iets) policy voor naam.mail.nl/be voor webwinkels etc.

Allemaal veel duidelijker en uniformer dan de wildgroei van nu.

Maar.. zelfs op tweakers werd ik al jaren gedownvote voor deze suggestie. Als zelfs een tweaker er de noodzaak niet eens van begrijpt en de pluspunten van inziet vrees ik voor jan modaal.
Ik lees heel veel verschillende oplossingen, maar geen ervan lijkt perfect. Dus ik kom met mijn eigen standaard der standaarden. Is het geen optie om overheidswebsites een apparte certificaat te geven wereldwijd welke visueel door de browsers aangetoond zullen worden. Landvlag en afkorting (vanwege opelkaar lijkende vlaggen van eventueel vage landen) binnen een gekleurde duidelijke kader
NLD 🇳🇱 http://overheid.nl
Werd idd tijd dat de Nederlandse overheid zo iets zal moeten implementeren in hun online beeld. Best gek dat wij dit niet hebben. Zijn veel landen in Azie, Saudi, UAE, Amerika die dit al hanteren sinds jaren, en wij maar .nl gebruiken... Zou handig zijn voor tegengaan van DigiD fraude etc.
Onder meer advocaat Jan-Gerrit Kroon en Eset-directeur Dave Maasland zeggen dat Nederland beter kan overstappen op een domein als .overheid .gov, in plaats van de huidige .nl-sites.
.gov associeer ik met 'US Government'. Dan zou ik eerder .overheid verwachten, maar dat is weer een middelvinger naar andere landen waar Nederlands een gebruikelijke taal is.

Een compromis dat niet veel hoeft te kosten: *.overheid.nl.

amsterdam.gemeente.overheid.nl
flevoland.provincie.overheid.nl
rijks.overheid.nl
buitenlandsezaken.ministerie.overheid.nl
belastingdienst.financien.ministerie.overheid.nl (redirect voor belastingdienst.nl)
ind.justitieenveiligheid.ministerie.overheid.nl (redirect voor ind.nl)
Etc.

Van overheid.nl kan je een centrale index en educatieve site maken. Verder kan je verbindende themasites hebben (subsidie.overheid.nl, belasting.overheid.nl, uitkering.overheid.nl, immigratie.overheid.nl, etc.).

Voor degenen die denken dat sommige namen te lang zijn: ik denk dat de meeste overheidssites via een zoekmachine bezocht worden. Het is dan belangrijk dat de naam duidelijk is. "Het is overheid.nl, dus het is goed."

Bovenstaande voorstel kan uiteraard ook met .overheid gebruikt worden, maar dan zonder .nl. ;)

[Reactie gewijzigd door The Zep Man op 23 juli 2024 19:58]

Het probleem hiermee is dat het nog steeds makkelijk is misleidende domeinen te genereren.

www.buitenlandsezaken.ministerie-overheid.nl lijkt bijvoorbeeld sprekend op www.buitenlandsezaken.ministerie.overheid.nl

Als een domein eindigt met .overheid, kan er geen enkel misverstand over ontstaan. Een misleidende TLD die daar op lijkt, maak je niet zomaar aan.
Ik stuur nog wel eens een phishing simulatie. Ik kan je vertellen dat dat soort spelfout domeinen goed te detecteren en te verwijderen zijn. We hebben al een aantal keer een boze mail van de DNS provider / SIDN gehad over dingen die lijken op Microsoft etc.

Steeds meer providers bieden ook anti-phishing / anti-malware DNS aan. Zij zouden ook wat kunnen doen in filtering.

[Reactie gewijzigd door MiesvanderLippe op 23 juli 2024 19:58]

Ik kan je vertellen dat dat soort spelfout domeinen goed te detecteren en te verwijderen zijn.
Hoe dan? Whitelist? Dan ligt de verantwoordelijkheid toch weer elders.
Je hebt partijen als domain-tools die informatie krijgen van verschillende DNS providers. Sommige registrars werken hier zelf ook aan mee. Dan heb je ook nog het aanvragen van SSL certs. Die zijn ook allemaal transparant. Alle* aangevraagde SSL certificaten zijn inzichtelijk. Zo kun je dus ook ontdekken welke domeinnamen er zijn.

* = alle certificaten die nu wereldwijd geldig zijn. Dit werd tot een jaar of vijf geleden niet gepubliceerd en self-signed certs zijn natuurlijk niet inzichtelijk.

Voorbeeldje van die data: https://crt.sh/?q=tweakers.net
Maar ook een fout gespelde domein naam kan toch gewoon geregistreerd zijn?
Dat klopt. Maar daar zijn wel spelregels voor. Je kunt gewoon een verzoek doen voor het verwijderen van een phishing domein, zeker als het onterecht jouw naam bevat. Dat is natuurlijk deels afhankelijk van de medewerking van de registrar.

Wat ik trouwens nog vergeten ben: Google houd ook een blocklist van malafide domeinen bij en die worden door de meeste browsers geïnterpreteerd. Dus daar worden dat soort domeinnamen ook direct bij aangemeld. Partijen die dit juist doen hebben wat directer toegang hiertoe. Dus zo'n Microsoft phishing is ook dezelfde dag geblokkeerd in Chrome/Edge etc.

https://safebrowsing.google.com/
Phishing (sub)domains komen en gaan sneller dan takedowns kunnen worden uitgevoerd. Ook daarom staat mijn argument dat .nl subdomeinen niet genoeg bescherming bieden, vergeleken met een TLD.
Dus toch whitelist bij Google (die gewoon een commerciele partij is met allerlei motieven...) en MS is een ICT bedrijf dat heel actief is op dit gebied. Typisch iets wat 'de' overheid dus niet is...

Natuurlijk: alle beetjes helpen maar ondertussen stort de overheid een bak sites over de burger uit en heeft een derde (nare) partij een vrije sterke motivatie om iemands gegevens te stelen.
Het is typisch dat de overheid wel adviezen geeft over hoe je je identiteitgegevens zou moeten beschermen maar eigenlijk deel van het probleem is...
Dus toch whitelist bij Google (die gewoon een commerciele partij is met allerlei motieven...) en MS is een ICT bedrijf dat heel actief is op dit gebied.
Dat is echter ook niet 100%, tussen aanmaken van het domein en detectie zit tijd. Want ook MS is afhankelijk van meldingen van phishing en dat gaat nu wel heel wat sneller dan voorheen maar dat is nog steeds tijdgebonden.

En ik betwijfel of dit veel gaat helpen. Veel mensen checken het linkje dat ze zien in een email/site/document voordat ze erop klikken, maar dat hoeft dus niet de site te zijn waar je naartoe gaat (alleen de display). Dan hebben we ook nog eens dns/cache shenanigans, aangezien de doorsnee consument nooit diens netwerkapparatuur update (met security updates)...

Laatste tijd veel energie gestoken in hoe je een organisatie kan 'hardenen' tegen Attacker in the Middle (AitM), hoe makkelijk men tokens buitmaakt en MFA dan ook niet meer beschermd. Dit is al een issue voor bedrijven, laat staan niet IT personen die even willen aanmelden op een overheidssite...
Het probleem hiermee is dat het nog steeds makkelijk is misleidende domeinen te genereren.

www.buitenlandsezaken.ministerie-overheid.nl lijkt bijvoorbeeld sprekend op www.buitenlandsezaken.ministerie.overheid.nl
Daar kan je gewoon afspraken over maken met het SIDN (die nu al op dergelijke woorden filtert).
https://gathering.tweakers.net/forum/list_messages/2210118
Geregistreerd op 29-9, was vanmorgen nog in de lucht. Lijkt nu down maar is nog wel actief als domein volgens SIDN.
De experts lijken daarbij vergeten dat de gov-tld voor de VS is en niet onder controle van Nederland staat.
Ze lijken er niet heel erg over nagedacht te hebben als ze dit soorr alternatief noemen.
Ik vind het sowieso een vreemde aanbeveling. Hoezo lost een andere onbekende domeinextensie ineens dit probleem op, waarvan de grootte niet gekwantificeerd is? Alsof mensen die gephist worden altijd trouw de url inspecteren?
JA, laat .nl domein registratie maar eens beter opletten ook.
Ik weet nog de tijd dat je geen woorden als aanhangwagen mocht registreren.
Nu mag alles ofzo?

Belasting-dienst.nl

Waarom zijn dat domeinen uberhaupt beschikbaar om te registreren voor scammers?
Gewoon strippen en als het 'belastingdienst' is.. niet toelaten.
Tja - dan moet de overheid dus een lijst publiceren van 'geclaimde' termen. En het Internet is niet van de overheid - ze mogen echter wel een domein aanvragen. En dat het moeilijk te coordineren is....tja...dat is toch echt wel een hoofdtaak van de overheid; coordinatie van resources.
Waarom zijn dat domeinen uberhaupt beschikbaar om te registreren voor scammers?
Gewoon strippen en als het 'belastingdienst' is.. niet toelaten.
Omdat het systeem niet zo werkt omdat er geen centrale baas op internet is voor alle domeinen. .nl heeft wel een baas, SIDN, maar die kan alleen binnen .nl echt iets doen. SIDN biedt een bewakingsdienst om je
te waarschuwen en te helpen om protest te maken: SIDN Merkbewaking . Ik heb de indruk dat die dienst niet erg bekend is en ik vermoed dat er dus ook maar weinig van gebruik wordt gemaakt.

Overigens ben ik zelf skeptisch over het nut. Er zijn zo ontzettende veel manieren om woorden te varieren met leestekens, spelfouten, cijfers, tekens uit andere alfabetten en consructies als "overheidnl.com" dat het haast niet te doen is om echt alles tegen te houden.
Ik weet niet of SIDN het uberhaupt tegenhoudt of alleen een waarschuwing stuurt. Voor buitenlandse domeinnamen kunnen ze sowieso niks doen want daar gaan ze niet over.

Als laatste punt vind ik ergens ook dat /in dit geval/ een commercieel bedrijf geen lijst met verboden namen moet maken, laat dat maar aan de overheid over.*

Het lijkt me ook wel lastig om harde regels te maken over wanneer en hoeveel namen op elkaar mogen lijken. De overheid is enorm groot en gebruikt heel veel namen en afkortingen. "Stichting Welzijn Ouderen" of zo iets. Moet je zo'n naam ook beschermen? En de afkorting WSO ook? Lijkt mij praktisch lastig uit te voeren. Ofwel is het nauwelijks effectief of je blokkeert zo'n beetje alles.

* Dit is geen pleidooi voor meer overheidscensuur of zo iets, maar als er dan toch één partij beperkingen aan het hele land moet opleggen laat het dan maar door de overheid doen. SIDN is monopolist voor .nl dus je kan niet naar een andere leverancier overstappen als je het er niet mee eens bent want die kunnen geen .nl domeinen leveren.
SIDN dus. Ik kreeg recent nog een spam met www.belasting-dienst.nl/betaling
Er is bepaald dat een domeinregistratie zelf nooit 'verkeerd' kan zijn, het gaat erom wat je ermee doet. Bovendien heeft de registrargemeenschap besloten dat controle van de houder op voorhand niet mag; dan zou je bij een nieuwe registratie te lang op je domeinnaam moeten wachten (maar volgens mij werken ze nu wel aan andere manieren om eea te kunnen controleren).

Er is dan ook geen lijst van 'verboden' woorden, en de merkbewaking waarschuwt alleen; de gebruiker kan dan zo nodig een takedown-procedure starten, die volgens mij wel een stuk sneller en makkelijker is gemaakt een paar jaar terug.

En aangezien hij toch alleen maar waarschuwt hoeft de detectie ook niet perfect te zijn: gebruikers krijgen een melding van alle registraties die maar heel weinig verschillen van de geregistreerde naam.
[...]


.gov associeer ik met 'US Government'. Dan zou ik eerder .overheid verwachten, maar dat is weer een middelvinger naar andere landen waar Nederlands een gebruikelijke taal is.

Een compromis dat niet veel hoeft te kosten: *.overheid.nl.

amsterdam.gemeente.overheid.nl
flevoland.provincie.overheid.nl
rijks.overheid.nl
buitenlandsezaken.ministerie.overheid.nl
Etc.

Van overheid.nl kan je een centrale index en educatieve site maken. Verder kan je verbindende themasites hebben (subsidies.overheid.nl).
Duidelijke erkenning, nadeel hiervan is, wanneer je e-mailadressen gaat aanmaken op dit soort domeinen. Dan worden ze wel lang en veel mensen snappen niet dat er punten tussen moeten.

Alternatief is dat er dan toch bijv. amsterdam.nl e-mailadressen gaan worden gebruikt. En dit zorgt dan weer voor verwarring en nog meer potentiele nepmails.
Duidelijke erkenning, nadeel hiervan is, wanneer je e-mailadressen gaat aanmaken op dit soort domeinen. Dan worden ze wel lang en veel mensen snappen niet dat er punten tussen moeten.
E-mailadressen/-aliassen worden gewoon voornaam.achternaam@overheid.nl, met wat creativiteit voor dubbele namen die af en toe voorkomen. Binnen de overheid kan iemand soms meerdere rollen vervullen en ook een andere functie binnen een ander onderdeel krijgen. Hetzelfde emailadres aanhouden is dan beter.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 19:58]

Er zijn iets van 130k ambtenaren in Nederland.
Iemand gaat dus jan.jansen148@overheid.nl krijgen :+ !

Ik denk overigens dat het probleem vooral zit in het feit dat voor elk onderwerp weer een nieuwe hippe thema website online gezet wordt met allemaal onduidelijke kreten. Wat daarbij echt van de overheid is en wat nep is dan echt onhandig om als gewone gebruiker te onderscheiden.
Zoals @Zeror al schreef, Arjan Lubach heeft dit weer pijnlijk duidelijk gemaakt in zijn stuk daarover.
Waarom een nummer toevoeging en niet een gemeentenaam of een afdelingsnaam? Dan wordt het mailadres natuurlijk wel vrij lang maar dat is maar 1 keer een mogelijk probleem, zeg maar.
Dat is niet handig als iemand naar een andere afdeling gaat.
Waarom niet? Tijdelijk een alias naar het oude adres met een forward to new address and reply to sender with actual address.
Tijdelijk is altijd te kort. Die oude adressen zitten nog jaren bij mensen in hun adresboek.
Er zijn iets van 130k ambtenaren in Nederland.
Er zijn 138k Rijksambtenaren in Nederland.
In de gehele publieke sector werken er meer dan 900k.
En dan moet er dus beheer zijn over al die emailadressen, mailgroepen, etc.
Ik heb nu al medelijden met de beheerder die dat moet gaan beheren.

Hetzelfde emailadres behouden als iemand van gemeente naar provincie of andersom gaat is een grote nachtmerrie op gebied van rechten en een gegeven voor datalekken omdat ze informatie toegestuurd krijgen dat niet meer voor hen is.

Daarnaast zit je met een ontzettende grote hoeveelheid mensen met dezelfde naam bij een grote pool emailadressen.

Je wilt zeker ook voorstellen dat ze 1 MS EntraID gaan gebruiken??
En dan moet er dus beheer zijn over al die emailadressen, mailgroepen, etc.
overheid.nl is overigens al een M365 tenant.
Dat weet ik, maar gelukkig beheren die niet de accounts van alle overheids instanties en ambtenaren in Nederland.
Je kan toch wel verschillende mailservers hebben voor hetzelfde topdomein? Dus blijft het beheer van de mailadressen van gemeente A gewoon hetzelfde.
De suggestie hierboven is dat de hele overheid gaat werken met @overheid.nl. Naar mijn weten kan dat alleen als het beheerd wordt door 1 mailserver of mailcluster.

Hoe wil je dat opsplitsen dan? Hoe weet jouw mailclient dat hij dan voor pietje@overheid.nl bij mailserver A moet zijn, maar voor jantje@overheid.nl bij mailserver B?
En hoe weet mailserver B dan dat er al een pietje@overheid.nl bestaat op Server A?

Dat zou alleen kunnen door het toplevel weer op te splitsen, maar dan zou je dus weer @amsterdam.overheid.nl krijgen, maar dat was niet de suggestie die hierboven werd gegeven.
De simpele oplossing daarvoor is dat mailservers A&B samenwerken. Waar de mailbox van een gebruiker staat hoeft geen gevolgen te hebben voor zenders buiten de organisatie.
Zelfde mail adres behouden kan ook weer een groot AVG/GPDR/Privacy issue zijn.

Daarnaast, hoe ga je met tussen voegsel om, of meerdere achternamen?

"creativiteit", zul je moeten beschrijven, want het is niet af en toe, maar gewoon een heel normaal iets.
.gov associeer ik met 'US Government'.
.gov is ook enkel en alleen te gebruiken door "U.S.-based government organizations" - https://get.gov/.
staat ook n spatie tussen, :9
uit de bron :
zo snel mogelijk aanpassen naar .gov of .overheid
Dan nog blijft mijn punt staan. ;) De Nederlandse overheid heeft niets te zoeken op .gov.
Op zich een super goed idee. Toch vraag ik mij af hoever je 'm doortrekt. De thema websites, zoals 'zetookdeknopom.nl' is qua naam pakkend en te onthouden, omdat 'ie (relatief) contextueel is en natuurlijk compact.

Stel we spreken over domein (overheid.nl), subdomeinen per categorie (ministerie, geldzaken, gezondheid) en thema's (zetookdeknopom), wordt het dan niet juist verwarrend? Je moet immers weten over welke categorie je thema gaat. Is het dan 'zetookdeknopom.geldzaken.overheid.nl' of 'zetookdeknopom.duurzaamheid.overheid.nl'? Om nog maar te zwijgen om een dergelijke URL in een video of poster te meoten plaatsen.. Een argument als 'Dan doe je zowel de korte versie, maar dan een 301 link naar de uitgebreide URL met *.overheid.nl?'. Ja, maar dan behoud je het probleem dat mensen met slechte bedoelingen nog steeds een nepURL kunnen maken die misleid.

Een hoop minder overheidwebsites lijkt mij een goed idee en gedachte om (x.y.)z.overheid.nl te doen ook helemaal. Toch betwijfel ik of dit juist aanpak gaat zijn, gezien een kwart (aanname o.b.v. mijn omgeving) niet goed is met computers/internet? Al helemaal de oudere generatie. Dus waar maak je het compromis?
Die mensen die niet goed zijn met computers hebben toch ook geleerd dat je er .nl achter moet zetten?
Die kunnen ook echt wel leren dat je voor overheid sites er .gov.nl achter moet zetten ipv .nl

Eventjes wennen en dan is het normaal geworden.
Een pakkende naam is helemaal niet nodig (en loopt gewoon spaak). Wat nodig is een een betere zoek functie voor onderwerpen binnen de overheid - al dan niet via AI.

Overigens: die popi-jopie 'zetdeknopom' site-namen kunnen we gestolen worden... "dumbing down" om een groter publiek aan te spreken is toch helemaal niet nodig?
Op zich kan ik mij vinden in jouw voorstel. Maar hoe ga je om met instituties als bijv. de Nationale Politie en Rijkswaterstaat?
Zou ik toch voor die TLD gaan, want ik kan ook ********.overhied.nl gaan rondsturen
Dat worden veel te lange URL's. Voor het adres 'an sich' maakt het niet uit, maar zie het maar eens in een reclamespotje te noemen.
Voor meer informatie kunt u terecht op flevoland.provincie.overheid.nl!
Je kunt dan veel beter 'flevoland.overheid.nl' gebruiken en dan zoektermen als 'provincie Flevoland' naar dat adres laten verwijzen. Hetzelfde geldt voor de meeste gemeenten. Alleen bij Groningen kom je dan een beetje in de knel, omdat zowel gemeente als provincie zo heten, maar daar kun je dan een uitzondering voor maken (gemgroningen.overheid.nl en provgroningen.overheid.nl bijvoorbeeld).

Iedereen heeft het er altijd over dat de overheid zo slecht communiceert en zo, dus kilometerslange URL's dragen niet echt bij aan de duidelijkheid.
Waarom zou je die extra schakel van "gemeente" of "provincie" er bij willen hebben?

amsterdam.overheid.nl
flevoland.overheid.nl
buitenlandsezaken.overheid.nl
belastingdienst.overheid.nl
lutjebroek.overheid.nl

Lijkt me dan een stuk duidelijker. Het is niet alsof Amsterdam meerdere soorten overheidssites zou willen hebben. Hooguit zou je dat kunnen hebben met bv Utrecht en Groningen omdat daar provincie- en stadsnaam overeenkomen, maar ook dat is een detail.
Met overheid.nl valt nog te rommelen bijv 0verheid.nl overheld.nl
Met een tld is dat een ander verhaal en heb je veel meer controle.
Ik snap de zorgen, maar om nou een hele TLD hiervoor in het leven te roepen. Je kunt exact hetzelfde bereiken door *.overheid.nl te gebruiken. Of denkt men hier dat .overheid duidelijker is?

Voorbeeldje:
digid.overheid
digid.overheid.nl

cbr.overheid
cbr.overheid.nl

mijn.overheid
mijn.overheid.nl
Administratief en qua security wordt dat een ramp.

Je hebt dan 1 domeinnaam met DNS records met 1 contactpersoon die door alle instanties gebruikt wordt.
1 SSL-certificaat kan dan gedeeld kan worden.

In de UK wordt wel een second level Domain gebruikt, namelijk .gov.uk

[Reactie gewijzigd door Oeroeg op 23 juli 2024 19:58]

Dat is niet helemaal waar. Technisch werkt de DNS exact hetzelfde als bij een .overheid TLD. In de DNS zone van het domein worden NS records opgegeven voor een subdomein. Root servers -> SIDN authoritative -> overheid.nl authoritative -> digid.overheid.nl authoritative. De enige hub die je er tussenuit haalt zijn de authoritative servers van SIDN. Zie deze pagina voor meer uitleg: https://aws.amazon.com/route53/what-is-dns/

Een SSL certificaat kun je verkrijgen door validatie op DNS.

[Reactie gewijzigd door TwArbo op 23 juli 2024 19:58]

zo doet google het ook met zijn domeinen, en zie niet in waarom dit bij de overheid niet zou kunnen
En wat weerhoud de overheid om het SIDN te vragen om de domeinen onder .overheid.nl te verdelen?

Sowieso, ook het .nl domein heeft in jouw optiek maar 1 contactpersoon en 1 ssl-certificaat (waarbij opgemerkt moet worden dat een ssl-certificaat geen wildcard kan zijn op meerdere nivo's, dus *.nl zou kunnen, maar *.*.nl niet).

En direct erna geef je een voorbeeld van een land dat het ook doet, en waar het blijkbaar wel kan.
@TwArbo legt het al uit voor DNS, maar voor certificaten geldt hetzelfde, daar kun je prima delegeren.

Je moet bij een leverancier (bijvoorbeeld Sectigo; PKIOverheid is gestopt met publiek vertrouwde certificaten) een domein validatie uitvoeren (al dan niet na een organisatievalidatie voor EV certs) en dat lukt prima met subdomeinen ipv "hoofddomeinen".

Hoofddomeinen bestaan niet echt (behalve natuurlijk TLD's); "overheid.nl" is al een subdomein van "nl", maar we zijn in Nederland zo gewend dat het deel van de domeinnaam dat je koopt rechtstreeks aan een TLD hangt dat veel mensen dat niet doorhebben.

Het voorbeeld dat je van Engeland geeft laat zien dat het prima gaat; je noemt gov.uk maar bijvoorbeeld bedrijven daar hebben domeinnamen die niet op .uk eindigen, maar op .co.uk. Je DNS en TLS-certificaten gaan daar op dezelfde manier als hier; de extra punt in de domeinnaam (website.co.uk ipv website.couk) heeft geen invloed op de werking (zowel technisch als administratief) van DNS of certificaten; een niveau meer of minder maakt niet uit.
Ik snap de zorgen, maar om nou een hele TLD hiervoor in het leven te roepen.
In andere landen gebeurt dat wel vaker (zie bijvoorbeeld .gov), en ook in Nederland waren hier al in 2012 plannen voor: nieuws: Overheid vraagt twee eigen top-level-domeinen aan - update

Alleen is dat in 2013 helaas ingetrokken, en dus nooit doorgegaan, zie https://www.binnenlandsbe...door-webdomein-overheidnl

De overheid vond het te weinig meerwaarde hebben.... dus 11 jaar geleden al.
Is .gov alleen voor de Amerikaanse overheid, of kan elke overheid in de wereld daar een domein naam mee nemen?
De TLD .gov kan inderdaad alleen worden gebruikt door de Amerikaanse overheid, en volgens mij zelfs alleen de federale overheid, maar dat laatste weet ik niet zeker.

Andere landen kunnen dat TLD niet gebruiken.

Wat je wel ziet zijn bijvoorbeeld constructies als gov.uk, gov.ca voor de overheid van (respectievelijk) de UK en Canada.
alleen voor de USA, net zoals bv .mil voor miltaire sites. Deze komen nog uit het begin van het internet.
Though "originally intended for any kind of government office or agency", only U.S.-based government entities may register .gov domain names, a result of the Internet originating as a U.S. government-sponsored research network.
Bron: Wikipedia
.gov is inderdaad alleen voor de Amerikaanse overheid. Het VK heeft gov.uk en Canada .gc.ca
Ja hoor; stuur maar eens een mail aan putin@kremlin.gov :+
Dat het in 2013 niet is doorgegaan wil niet zeggen dat dat in 2023 nog zo is. De overheid is meer en meer gedigitaliseerd, waardoor nepdomeinen ook een steeds groter wordend probleem is. Ik kan me voorstellen dat met de huidige eisen en wensen en de huidige sitautie dat er nu een ander besluit genomen kan worden.
Koninkrijk der Nederlanden

belastingdienst.kdn

Maar dan wel ALLEEN overheidsinstanties.
Geen semi overheden, geen rand groepen, geen uitzonderingen.
En onafhankelijke overheidsinstanties?

Of is dit weer een uitzondering?
Laten we alsjeblieft vooruit denken tot een toekomst waar het misschien geen Koninkrijk meer is en dat issue nu al voorkomen.
dan kun je .nl ook wel op gaan heffen.
Inderdaad, laten we alvast het Keizerrijk der Nederlanden reserveren.
Wellicht kun je dan makkelijker intrappen in namen als overhe1d.nl? Of iets met een unicode karakter
Lijkt me inderdaad dat dat met unicode karakters makkelijk te omzeilen is, een unicode punt ofzo waarvan niemand ooit het verschil gaat zien
Bij mijn weten ondersteunt SIDN enkel ASCII karakters in hun domeinnamen. Dit wordt dus enkel een probleem wanneer SIDN wel andere karakters gaat ondersteunen.

[Reactie gewijzigd door TwArbo op 23 juli 2024 19:58]

Daar is Punycode voor uitgevonden.
Ja, maar niet elk TLD hoeft Punycode te ondersteunen. En het is triviaal duidelijk voor SIDN dat een "xn--verheid-akl" URL verdacht is. Zelfs áls ze Punycode willen ondersteunen kan dat nog op een veilige manier.
Dat soort namen zouden bij de reservering van het echte domein meteen mee gereserveerd moeten worden. Dus bij overheid.nl ook meteen 0v3rh31d.nl en alles er tussen in. Zodra ze gereserveerd zijn hoeven ze nergens heen te gaan maar het kan en mag natuurlijk wel meteen naar de echte door linken, daar zijn technieken genoeg voor om daar wel of geen waarschuwing tussen te zetten.

Het zou de registrerende partijen sieren om dat soort namen als bulk te verkopen en niet als elk domein apart. Dan kan de administratie tussen die namen worden geautomatiseerd.
een TLD is minder makkelijk na te maken dan overheid.nl
Wat dacht je van:
cbr.overheid.nl
cbr.overheid.nI
cbr.overheid.ni

Drie verschillende domeinen, maar mensen kunnen de verschillen makkelijk missen.
Met .overheid is dat veel minder makkelijk omdat een oplichter niet zomaar een TLD kan maken.
Het CBR is geen overheid, maar anders zou overheid.nl/cbr beter zijn. Dan valt er minder te spoofen.
Dan krijg je websites als digid-overheid.nl enzo, men ziet dat verschil niet.

Al zie ik de waarde van een .overheid ook niet echt
Een mooi lijstje. Dat dan graag dupliceren op basis van het tld ".gov", voor Nederland dan ".nl.gov", dat moet door de NL overheid wel te verkrijgen zijn van de US overheid. Op jou lijstje dan digid.nl.gov, cbr.nl.gov en zo voorts. Deze .nl.gov websites kunnen dan standaard in het engels beginnen, waar jou voorgestelde sites standaard in het Nederlands starten.

Er zijn gelukkig meer van dit soort website namen te bedenken. Ze zouden in ieder geval allemaal door de (rijks) overheid moeten worden geclaimd en vastgelegd voordat een creatieve ondernemer er mee aan de haal gaat.

En het is tegenwoordig eenvoudig om websites op meer dan 1 naam te laten reageren. Het is dat ze dan in het proces wel naar een 1-duidige naam schakelen. Organisaties die wat verder van de overheid af staan zoals rijkswaterstaat, het cbr en dergelijke die kunnen dan naar hun .nl domein schakelen.
en dan zal 0verheid.nl niemand over het hoofd zien? het gaat er nu juist om dat phishing sites heel makkelijk te maken zijn door een site te maken met iets dat er op lijkt. overheid.nl gaat dat niet oplossen. je moet dan toch echt overheid.gov hebben of *.overheid TLD voor Nederland.

[Reactie gewijzigd door inversions op 23 juli 2024 19:58]

Je kunt alleen hetzelfde bereiken als je kunt garanderen dat er niks geregistreerd kan worden dat lijkt op overheid.nl
Dus geen 0verheid, overheld, overhe1d, enz enz
Bij een TLD ben je volledig in control, bij overheid.nl niet.
1 heel belangrijk verschil.

Het lukt mij waarschijnlijk vrij gemakkelijk om iets als 0verheid.nl överheid.nl of overhe1d.nl te registreren en kan daar op z'n minst een tijdje mijn gang gaan met phishing. Het zal een heel stuk lastiger worden om .0verheid in de lucht te krijgen.
Het lijkt me een goed plan, dan is het al snel makkelijker om gebruikers (niet-technische mensen) uit te leggen waar ze moeten letten. Alleen "let op het slotje voor HTTPS" is niet voldoende meer tegenwoordig, en aangezien deze TLD's dan allen door overheid kan worden gebruikt, maakt dat het wel wat veiliger.

Het AD-artikel noemt overigens op om ".gov of .overheid" te gebruiken. Ik zou dan wel voor .overheid kiezen. Niet iedereen beheert de Engelse taal even goed (zeker ouderen niet), en zal .gov dus niet snel met de overheid associeren. Kies dan voor .overheid, dat is meteen voor iedereen duidelijk.

Zoals het artikel in de AD al noemt is dit in veel andere landen al gebruikelijk, ik snap echt niet waarom de Nederlandse overheid dit niet al lang doet.
.gov kunnen we niet eens gebruiken, het is alleen voor Amerikaanse overheidsdiensten, zie https://get.gov/
Voor .gov hebben ze al een Nederlandse afkorting gedacht, dat staat daan voor Gezamelijke Overheden
Ik zou op mijn phishing pagina schrijven:

Let op het slotje voor HTTPS, en dat het domein eindigt met deoverheid.nl :Y)

Als mensen op een phishing pagina zitten is het vaak al te laat.
Dat slotje slaat sowieso nergens op en kan voor sommige de indruk wekken dat het een geverifieerde site is. Ben blij dat Chrome dat gaat weghalen uit de browser en alleen nog maar aangeeft als een site onveilig is.
Ik ben er wel voorstander van, zeker wanneer mensen iets opzoeken en dan vooral op gesponsorde resultaten klikken wanneer iets gratis bij de overheid kan.
Dat gaat natuurlijk niet veranderen. Mensen blijven direct op die gesponsorde sites klikken. Dat veranderd een tld niet.

Op dit item kan niet meer gereageerd worden.