SIDN: een derde .nl-domeinen beschikt over dnssec

Een derde van de .nl-domeinen is inmiddels beveiligd via het dnssec-protocol. Dat maakte de Stichting Internet Domeinregistratie Nederland maandag bekend. Dnnssec voorkomt onder meer man in the middle-aanvallen.

SIDN meldde maandag via Twitter dat een derde van de Nederlandse domeinen inmiddels over het protocol beschikt. Het gaat op het moment van schrijven om ruim 1.856.000 domeinen, terwijl er ruim 5.494.000 domeinen zijn, is te lezen op de site van de stichting.

De implementatiegrens werd deze maand gepasseerd; in juli waren er nog 1.766.000 domeinen die over dnssec beschikken. Een jaar geleden was dat aantal in die maand 1.518.000. Uit de statistieken van SIDN blijkt dat de implementatie sinds 2012 gestaag verloopt.

SIDN begon in 2012 met het gebruik van het dnssec-protocol op .nl-domeinnamen, wat de veiligheid van het dns-systeem flink moest vergroten. Met de invoering wilde de stichting een antwoord bieden op de toenemende roep om betere beveiliging van het dns-protocol, omdat er in het verleden diverse scheurtjes in het bouwwerk zichtbaar waren. Tweakers publiceerde hierover eerder een achtergrondverhaal.

Dnssec is ontwikkeld als aanvulling op het dns-protocol en moet de kwetsbaarheden in dat protocol verhelpen. Zo moeten cache poisoning en man in the middle-aanvallen worden voorkomen. Dnssec koppelt het antwoord op een dns-query aan een digitale handtekening, om zo de authenticiteit te kunnen controleren.

Door Yoeri Nijs

Nieuwsposter

Feedback • 25-08-2014 18:38 39

25-08-2014 • 18:38

39

Lees meer

SIDN waarschuwde in jaar tijd voor meer dan 26.000 phishingaanvallen - update
SIDN waarschuwde in jaar tijd voor meer dan 26.000 phishingaanvallen - update Nieuws van 24 januari 2022
'Domeinvalidatie van bepaalde CA's is om de tuin te leiden via dns-aanval'
'Domeinvalidatie van bepaalde CA's is om de tuin te leiden via dns-aanval' Nieuws van 10 september 2018
SIDN: banken scoren nog steeds slecht op dnssec-beveiliging
SIDN: banken scoren nog steeds slecht op dnssec-beveiliging Nieuws van 21 februari 2017
Xs4all neemt dnssec in gebruik
Xs4all neemt dnssec in gebruik Nieuws van 14 november 2016
Eerste sites op .amsterdam-domein gaan live
Eerste sites op .amsterdam-domein gaan live Nieuws van 1 april 2015
SIDN onderzoekt gebruik .bv voor Nederlandse bedrijven
SIDN onderzoekt gebruik .bv voor Nederlandse bedrijven Nieuws van 10 oktober 2014
Apps op Blackphone blijken kwetsbaar voor man in the middle-aanval
Apps op Blackphone blijken kwetsbaar voor man in the middle-aanval Nieuws van 9 september 2014
Belgische custom-tld's gaan meer dan twintig euro per jaar kosten
Belgische custom-tld's gaan meer dan twintig euro per jaar kosten Nieuws van 22 april 2014
Icann: dnssec-implementatie passeert grens van 50 procent
Icann: dnssec-implementatie passeert grens van 50 procent Nieuws van 24 januari 2014
Aantal met dnssec ondertekende .nl-domeinen groeit tot boven 600.000
Aantal met dnssec ondertekende .nl-domeinen groeit tot boven 600.000 Nieuws van 18 augustus 2012
Nederland loopt voorop met veilige dns-versie
Nederland loopt voorop met veilige dns-versie Nieuws van 7 augustus 2012
SIDN activeert dnssec voor .nl-domeinnamen
SIDN activeert dnssec voor .nl-domeinnamen Nieuws van 15 mei 2012
SIDN ondertekent .nl-zone met dnssec-protocol
SIDN ondertekent .nl-zone met dnssec-protocol Nieuws van 24 augustus 2010
Meer producten en artikelen
Beveiliging en antivirus Internet Dns SIDN

Reacties (39)

-Moderatie-faq
39
37
22
6
1
8
Wijzig sortering

Sorteer op:

Weergave:
CAPSLOCK2000
25 augustus 2014 20:01
Heel mooi dat het zo goed gaat. Nederland is met ruime marge koploper in de wereld, geen enkel land kan hier aan tippen.

Helaas bestaat DNSSEC uit twee delen, publiceren en controleren (valideren in DNSSEC-speak). Waar we wat publicatie betreft koploper zijn lopen we een beetje achter als het om het controleren van de DNSSEC-informatie gaat.

Het goede nieuws is dan wel weer dat steeds meer DNS-resolvers by default DNSSEC aan hebben staan. Langzaam maar zeker komt het dus vanzelf goed. Gelukkig ben je voor het valideren van DNSSEC niet afhankelijk van je provider of domeinboer. Iedereen die dat wil kan zelf een DNS-resolver installeren en DNSSEC aan zetten.

Lange tijd dufden veel providers het niet aan. Als hun resolvers een domein zouden weigeren op grond van DNSSEC dan zouden hun klanten de provider de schuld geven. "Via provider X werkt het niet, maar bij mij thuis werkt het wel. Dan is provider X stuk." Tegenwoordig heeft Google echter DNSSEC aan staan op de publieke resolvers. Dat heeft de discussie een stuk makkelijker gemaakt. "Google vindt dat je domein niet werkt" is een heel sterk argument.

Ohja, geen topic over DNSSEC is compleet zonder DNSViz te noemen. Op die site kun je op eenvoudige, grafische, wijze zien wat een bepaald adres met DNSSEC doet en wat er mis is. bv http://dnsviz.net/d/www.sidn.nl/dnssec

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 18:06]

ISaFeeliN @CAPSLOCK200026 augustus 2014 08:00
Hier heb je nog een aardige howto hoe je DNSSEC validerende resolvers opzet met Unbound (voor FreeBSD, die onlangs gekozen heeft voor Unbound ten koste van Bind):

http://www.prado.it/2012/...alidation-on-freebsd-9-0/
mdavids @ISaFeeliN26 augustus 2014 21:24
En via deze link kan iedereen eenvoudig controleren of hij/zij al tegen een validerende resolver aan praat (zoals Google Public DNS):

http://dnssectest.sidnlabs.nl/
Soldaatje 25 augustus 2014 18:58
Tweakers nog niet (volgens link), waarom niet? Of is het meer iets voor banken enzo?
Verwijderd @Soldaatje25 augustus 2014 19:06
ING.nl ook nog niet. Dus ik denk dat er iets anders de volgorde bepaald?
zx9r_mario @Verwijderd25 augustus 2014 19:48
Geen enkele bank gebruikt DNSSEC. Kan nog leuk worden bij de verantwoordelijk bij bijv dns poisson.
CAPSLOCK2000
@zx9r_mario25 augustus 2014 20:30
Banken zijn afschuwelijk conservatief en enorm op de cent. Ze hebben wel een grote bek maar als puntje bij paaltje komt valt het allemaal wat tegen. IPv6 hebben de meeste niet. SSL is maar matig, PFS doet geen van de grote banken en een paar van de grote jongens doen nog niet eens TLS 1.2. HSTS is meer een uitzondering dan de regel.

Wacht maar niet op de banken, die doen pas mee als ze moeten.
Armin @CAPSLOCK200025 augustus 2014 22:07
Is natuurlijk ook deels terrecht. Bij security is nieuwer niet altijd beter.

Zo zijn hun SSL machines vaak hardware acceletators met de SSL-private key buiten de software. FS en TLS 1.2 zijn leuk, maar puur technisch gezien bieden ze geen meerwaarde tov een goede TLS 1.0 implmentatie zonder FS. Immers een goede TLS 1.0 met AES128 is onkraakbaar. Meer onkraakbaar (FS, 256bit AESTLS 1.2) is dan leuk maar strikt gezien niet nodig.

Op de cent is het probleem meestal niet, want hun opstelling is meestal duurder dan een gewone ISS of Apache server.

Elke verandering is immers een risico, en banken zijn terrecht extreem wantrouwig voor zelfs maar het kleinste theoretische risico.
marcelvb @Armin25 augustus 2014 22:35
Ondanks dat liggen de telebankier sites er om de haverklap uit. Vaker dan mijn hobbysite.

Banken hebben geen excuus om geen DNSSEC te gebruiken. Het gaat om een handjevol bytes in een DNS-server. Er hoeft niks voor ontwikkeld te worden. Je moet alleen goed snappen waar je mee bezig bent, maar ik denk dat je die investering wel van een bank, die miljoenen winst maakt, wel mag verwachten.
Armin @marcelvb26 augustus 2014 00:58
Stabiliteit heeft er in deze niets mee te maken. Dat men veel storingen heeft is waar, maar dat zijn niet de security delen waar CAPSLOCK2000 naar refereerde met zijn SSL/TLS onderdelen.

(In zekere zin juist een bevestiging wat wat ik schreef daar dat de onderdelen zijn waar banken de laatste 2 jaar wél heel veel gewijzigd hebben en wél de laatste nieuwe technieken gebruiken. Denk aan de touch interface van ABN-AMRO.)

Verder zijn de gevaren van het niet DNSSEC gebruiken redelijk beperkt. MITM aanvallen worden vaak aangehaald, maar zijn in de echte wereld heel erg zeldzaam, en bovendien ook te voorkomen door zaken als HSTS, hetgeen bijvooebeeld de meeste (alle?) Nederlandse banken gebruiken.

Elke minieme wijziging van de kernsoftware die de security raakt is een kans op een fout. Een fout van een software configurator, nog niet ontdekte fout in de gebruikte software (zeker omdat banken vaak custom software gebruiken) of wellicht zelfs protocol.

Even omschakelen is er niet bij aangezien dat er een legioen aan nieuwe testen en gecertificering gedaan moet worden. Dat handjevol bytes kan moeiteloos tot extreme fouten leiden. Kans is extreem klein, maar gevolgen in zo'n geval extreem groot en dus doet men het enkel als er een voordeel is.

Dat is precies het verschil tusen een gewone ICT'er die graag de nieuwste zaken wilt, en een security expert die de laatste bewezen veilige software wil. Die laatste loopt vaak 10 jaar of zo achter, maar loopt wel minder risico bij een heartbleed ontdekking.
nelizmastr @zx9r_mario25 augustus 2014 20:25
Off-topic:

een poisson is een vis in het Frans, je doelt op poison :P

On-topic:

Banken hebben dermate sterke versleuteling dat het niet per direct een probleem is. Als een hacker via DNS een server weet te bereiken en besmetten betekent dit nog niet dat de gegevens ook daadwerkelijk gevaar lopen. Die gewapende betonnen muur van encryptie is voor nu voldoende blijkbaar.
CAPSLOCK2000
@nelizmastr25 augustus 2014 20:36
Banken zijn prima beschermd tegen bankrovers, maar dat is niet wat er met DNS-poisoning bedoeld wordt en waar DNSSEC tegen beveiligd. DNS-poisoning wordt gedaan om klanten naar de verkeerde webserver te sturen waar aanvallers een nep-bank-site draaien. Op die manier proberen ze je geheime codes af te troggelen*. Daar helpt DNSSEC prima tegen.


* de beter aanvallers doen vervolgens een man-in-the-middle-aanval zodat zelfs een random-reader je niet kan redden.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 18:06]

Xatom @Soldaatje25 augustus 2014 19:15
@elsegre
.net heeft ook gewoon ondersteuning voor DNSSEC. Of bedoel je dat .net niet met dit artikel te maken heeft?

@ADQ
Waarschijnlijk wegen de voordelen niet op tegen de kosten. Of ze zijn er mee bezig. Er is geen volgorde want je "krijgt" het niet. Je moet een DNS-server (nameserver) met ondersteuning voor DNSSEC installeren en configureren. Of en wanneer je dit doet moet de eigenaar van het domein zelf bepalen.

[Reactie gewijzigd door Xatom op 22 juli 2024 18:06]

erikmeuk3 @Xatom25 augustus 2014 22:23
wel raar dat dit adres het niet heeft. http://www.dnssec.net/
marcelvb @erikmeuk325 augustus 2014 22:37
Da's inderdaad wel raar. Maar kan ook dat je DNS-hoster die mogelijkheden gewoon niet biedt.
elsegre @Soldaatje25 augustus 2014 19:04
Omdat het een .net domain is.
geertdo @elsegre25 augustus 2014 19:11
Onzin, mijn .net domeinen allen op dnssec...
Brummetje @geertdo25 augustus 2014 19:14
Ja maar daar gaat deze nieuwspost verder niet over hè ;)
geertdo @Brummetje25 augustus 2014 19:26
Ai, klopt. Ging al fout bij soldaatje en zeker bij elsegre :?
Zapato @geertdo25 augustus 2014 19:16
Maar het artikel gaat over .nl domeinen. Dus geen onzin.
geertdo @Zapato25 augustus 2014 19:28
Zijn statement was zeker onzin. En off topic.
Cartman! 25 augustus 2014 19:01
Hoe kan ik zien of mijn domeinnamen hiervan voorzien zijn? Tijdje terug bij Leaseweb neergelegd maar die ondersteunde het toen nog niet en heb nooit een update gekregen dat ze het inmiddels wel doen.
Maestro @Cartman!25 augustus 2014 19:07
Op https://www.dnssec-validator.cz/ zijn plugins te downloaden voor diverse browsers
CAPSLOCK2000
@Cartman!25 augustus 2014 20:03
DNSviz is een prima manier:
wel: http://dnsviz.net/d/www.sidn.nl
niet: http://dnsviz.net/d/www.tweakers.net
Verwijderd 26 augustus 2014 09:18
Probleem is dat er genoeg ISP's zijn die het niet ondersteunen. Ik heb diverse domeinnamen geregistreerd staan via Versio, maar zij ondersteunen simpelweg nog geen DNSSEC. Dus dan heb je ook weinig keuze of je je domein wel of niet beveiligd met DNSSEC (behalve naar een andere ISP gaan die wel DNSSEC aanbiedt)
Yggdrasil @Verwijderd26 augustus 2014 10:42
Inderdaad. Stemmen met je portemonnee dus. Of hen een vriendelijk bericht sturen dat je overweegt weg te gaan omdat zij deze feature nog niet ondersteunen terwijl jij daar veel waarde aan hecht.
Snow_King 25 augustus 2014 19:25
Laten we ook even eerlijk zijn. .nl registrars krijgen flinke kortingen van SIDN als ze DNSSEC aan zetten. De motivatie vanuit hun kant is dus ook: geld.

Ohja, ik werk bij een registrar waar we zo'n 200.000 .nl-domeinen beheren. De motivatie was er daar wel om DNSSEC uit te rollen. Heel lastig is het overigens ook niet als je PowerDNS gebruikt.
CAPSLOCK2000
@Snow_King25 augustus 2014 20:32
Ik vind het een enorm slimme actie van SIDN. Voor een relatief klein bedrag hebben ze een enorme verandering weten te kickstarten. Ze hadden tien keer meer geld aan voorlichting en promotie kunnen uitgeven zonder ook maar in de buurt van dit resultaat te komen.
readefries 25 augustus 2014 19:01
Het probleem ligt is niet het protocol, maar aan BIND.

http://cr.yp.to/djbdns/forgery.html
magiel @readefries25 augustus 2014 19:23
Bernstein is een intelligente man. Maar de bron die je aanhaalt is 12 jaar oud. Denk je niet dat BIND dat inmiddels opgelost heeft?
DeathMaster @magiel26 augustus 2014 02:39
5 jaar tops, het refereert nog naar 2009.
readefries @magiel27 augustus 2014 19:29
Als je het stuk leest, zie je dat het gaat om hoe BIND is opgebouwd en hoe het wordt onderhouden. Aan het HOE van BIND is niets veranderd…
Verwijderd 26 augustus 2014 12:56
waarom duurt dit zo lang??
aadje93 @Eric7026 augustus 2014 08:00
het is geen taalgrapje, het is gewoon een spelfout waar lednov correct op reageert ;).

het moet "Één derde .nl domeinen beschikt over DNSSEC" (gezien DNSSEC ook een afkorting is moet het in hoofdletters :+ )
EJlol @aadje9326 augustus 2014 09:01
het moet eigenlijk "Eén" zijn. Op hoofdletters mag je geen accenten neerzetten (alhoewel niet iedereen daarmee eens is, maar volgens taaladvies is Eén dan alsnog een uitzondering).

https://onzetaal.nl/taala.../accenten-op-hoofdletters
Beerseboer @EJlol26 augustus 2014 14:47
Sterker nog, het moet 'eenderde' zijn. Mits je de spellingsregels in het Witte Boekje hanteert :)
SWINX @Eric7026 augustus 2014 10:37
Voor leuk/grappig mag je nog steeds een +1 geven.
Zie de moderatie FAQ :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq