Over de standaard

Beschrijving

Domeinnaam-beveiliging

Lijst status
Verplicht (pas toe leg uit)

Uitleg

Nut

DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. DNS Security Extensions (DNSSEC) lost dit op.

Werking

DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening  kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.

Trefwoorden
Beveiliging
Website

Detailinformatie

Beheerorganisatie
IETF
Uitstekend beheer
Nee
Specificatiedocument
RFC 4033
RFC 4034
RFC 4035
Volledige naam
Domain Name System Security Extensions
Version
RFC 4033, RFC4034, RFC4035
Documentatie 
FS 171011.3E Forumadvies toepassingsgebieden IV-standaarden.pdf
Waarvoor geldt de verplichting

Bij het investeren in ICT-systemen die gebruik maken van domeinnamen, en systemen die gebruik maken van DNS resolvers.

Implementatie

Toelichting
  • DNS: DNSSEC zorgt voor beveiliging van DNS.
  • DKIM: Zie onder DKIM.
  • PKIoverheid en TLS: DNSSEC werkt aanvullend aan PKI(overheid) en TLS. Deze laatste standaarden zorgen voor integriteit en vertrouwelijkheid van gegevensuitwisseling met een bepaalde domeinnaam, maar kunnen niet garanderen dat met het correcte IP-adres wordt gecommuniceerd. DNSSEC kan dat wel.
Domein
Internet & Beveiliging
Hulpmiddelen

DKIM.nl Phishing Scorecard Wikipedia over DKIM Let op: Voor veilige toepassing van DKIM is het van belang om sleutels van tenminste 1024 bits te gebruiken, zoals de standaard ook voorschrijft. Voor meer informatie zie het advies van US-CERT d.d. 24 oktober 2012.

Conformiteitstest

Signing ("Is een domein beveiligd met DNSSEC?"): DNSSEC Analyzer (Verisign)
Validation ("Controleert mijn provider de validiteit van de DNSSEC-handtekening?"):DNSSEC Test (SIDN)

Community en Organisaties

DNSSEC.nl
SIDN over DNSSEC
DNSSEC @ SURFnet
DNSSEC - CZ.NIC

Toetsingsinformatie

Functioneel toepassingsgebied

DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.

Organisatorisch werkingsgebied

Overheden en instellingen uit de (semi-) publieke sector

Datum van besluit
15-06-2012
Datum van aanmelding
26-11-2011
Europese status (MSP)
Ja

Adoptieadviezen

Adoptieadviezen

Bij de opname op de "pas toe of leg uit"-lijst heeft het College Standaardisatie een oproep gedaan aan: het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. Status: In uitvoering het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.  Status: In contact de verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren.  Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. Status: In uitvoering