Status
DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.
Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Voor DNSSEC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.
Nut en werking
Domeinnaambeveiliging
Met DNSSEC kan de ontvanger de echtheid van de domeinnaaminformatie (waaronder IP-adressen) controleren. Dit voorkomt bijvoorbeeld dat een aanvaller het IP-adres ongemerkt manipuleert (DNS-spoofing) en daarmee verstuurde e-mails omleidt naar een eigen mailserver of gebruikers misleidt naar een frauduleuze website.
Een domeinnaamhouder kan met DNSSEC een digitale handtekening toevoegen aan DNS-informatie. Aan de hand van deze handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) de inhoud en de ontvangen DNS-informatie valideren. Hierdoor is met grote waarschijnlijkheid vast te stellen dat het antwoord van de DNS onderweg niet is gemanipuleerd door derden.
Detailinformatie
Toepassing
- Factsheet Informatiebeveiligingsdienst ‘DNSSEC: voorkom domeinnaamfraude’ korte versie en lange versie
- Online cursus DNSSEC (SIDN)
- Rijksoverheden moeten hun domeinnamen onderbrengen bij de Rijks-registrar, Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken. Deze biedt ondersteuning voor DNSSEC en Ipv6.
- Internet.nl
- Signing ('Is een domein beveiligd met DNSSEC?'): DNSSEC Analyzer van Verisign
- DNSViz
Toetsingsinformatie
Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.
Bij de opname op de "pas toe of leg uit"-lijst heeft het College Standaardisatie een oproep gedaan aan:
- Het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC.
- Het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.
- De verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren. Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij.