Status

Lijst status
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied

DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.

Organisatorisch werkingsgebied

Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

Aanvullende verplichtingen

Voor DNSSEC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.

Europese status
Ja
Link naar document Europese status
Besluit van de Europese Commissie (3 april 2014)

Nut en werking

Typering

Domeinnaambeveiliging

Nut

Met DNSSEC kan de ontvanger de echtheid van de domeinnaaminformatie (waaronder IP-adressen) controleren. Dit voorkomt bijvoorbeeld dat een aanvaller het IP-adres ongemerkt manipuleert (DNS-spoofing) en daarmee verstuurde e-mails omleidt naar een eigen mailserver of gebruikers misleidt naar een frauduleuze website.

Werking

Een domeinnaamhouder kan met DNSSEC een digitale handtekening toevoegen aan DNS-informatie. Aan de hand van deze handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) de inhoud en de ontvangen DNS-informatie valideren. Hierdoor is met grote waarschijnlijkheid vast te stellen dat het antwoord van de DNS onderweg niet is gemanipuleerd door derden.

Domein
Internet en beveiliging
Relatie met andere standaarden
DKIM
DMARC
SPF
Relatie met andere standaarden
DNS:
DNSSEC zorgt voor beveiliging van DNS.
TLS:
DNSSEC werkt aanvullend aan TLS. De standaard zorgt voor integriteit en vertrouwelijkheid van gegevensuitwisseling met een bepaalde domeinnaam, maar kan niet garanderen dat met het correcte IP-adres wordt gecommuniceerd. DNSSEC kan dat wel.
HTTPS en HSTS:
Zorgen voor de integriteit en vertrouwelijkheid van gegevensuitwisseling met een bepaalde domeinnaam, maar kunnen niet garanderen dat met het correcte IP-adres wordt gecommuniceerd. DNSSEC kan dat wel.
Trefwoorden
Website
Informatiebeveiliging

Detailinformatie

Volledige naam
Domain Name System Security Extensions
Versie
RFC 4033, RFC4034, RFC4035
Specificatiedocument
- DNS Security Introduction and Requirements
- Resource Records for the DNS Security Extensions
- Protocol Modifications for the DNS Security Extensions
Beheerorganisatie
IETF

Toepassing

Community
Hulpmiddelen
  • Factsheet Informatiebeveiligingsdienst ‘DNSSEC: voorkom domeinnaamfraude’ korte versie en lange versie 
  • Online cursus DNSSEC (SIDN)
  • Rijksoverheden moeten hun domeinnamen onderbrengen bij de Rijks-registrar, Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken. Deze biedt ondersteuning voor DNSSEC en Ipv6.
Conformiteitstest
Inkoop
Themapagina 'Inkoop, aanbesteding en open standaarden'

Toetsingsinformatie

Toelichting bij opname

Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.

Adoptieadviezen

Bij de opname op de "pas toe of leg uit"-lijst heeft het College Standaardisatie een oproep gedaan aan: 

  1. Het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. 
  2. Het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.  
  3. De verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren.  Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. 
Uitstekend beheer
Nee
Toetsingsdocumentatie 
FS 171011.3E Forumadvies toepassingsgebieden IV-standaarden.pdf
Agp 4b- Hamerstuk Standaardisatie OBDO 24 mei 2018.pdf
Datum van aanmelding
2011-11-26
Datum van besluit
2012-06-15