Status

Lijst status
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied

DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.
Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.

 

Organisatorisch werkingsgebied

Overheden en instellingen uit de (semi-) publieke sector

Europese status
Ja

Nut en werking

Typering

Domeinnaam-beveiliging

Nut

DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. DNS Security Extensions (DNSSEC) lost dit op.

Werking

DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening  kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.

Domein
Internet en beveiliging
Trefwoorden

Detailinformatie

Volledige naam
Domain Name System Security Extensions
Versie
RFC 4033, RFC4034, RFC4035
Beheerorganisatie
IETF

Toepassing

Hulpmiddelen

DKIM.nl Phishing Scorecard Wikipedia over DKIM Let op: Voor veilige toepassing van DKIM is het van belang om sleutels van tenminste 1024 bits te gebruiken, zoals de standaard ook voorschrijft. Voor meer informatie zie het advies van US-CERT d.d. 24 oktober 2012.

Conformiteitstest

Signing ("Is een domein beveiligd met DNSSEC?"): DNSSEC Analyzer (Verisign)
Validation ("Controleert mijn provider de validiteit van de DNSSEC-handtekening?"):DNSSEC Test (SIDN)

Toetsingsinformatie

Toelichting bij opname

In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebied van deze standaard DNSSEC aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 24 mei 2018. Een toelichting treft u in dit document.

Adoptieadviezen

Bij de opname op de "pas toe of leg uit"-lijst heeft het College Standaardisatie een oproep gedaan aan: het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. Status: In uitvoering het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.  Status: In contact de verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren.  Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. Status: In uitvoering.

Datum van aanmelding
2011-11-26
Datum van besluit
2012-06-15

Overig

Toelichting
  • DNS: DNSSEC zorgt voor beveiliging van DNS.
  • DKIM: Zie onder DKIM.
  • PKIoverheid en TLS: DNSSEC werkt aanvullend aan PKI(overheid) en TLS. Deze laatste standaarden zorgen voor integriteit en vertrouwelijkheid van gegevensuitwisseling met een bepaalde domeinnaam, maar kunnen niet garanderen dat met het correcte IP-adres wordt gecommuniceerd. DNSSEC kan dat wel.
Waarvoor geldt de verplichting

Bij het investeren in ICT-systemen die gebruik maken van domeinnamen, en systemen die gebruik maken van DNS resolvers.

Voor DNSSEC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt. Tweemaal per jaar wordt gemeten hoe de overheid aan deze afspraak voldoet. Zie https://www.forumstandaardisatie.nl/thema/iv-meting-en-afspraken voor details.