Over de standaard
Domeinnaam-beveliging
Uitleg
DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. DNS Security Extensions (DNSSEC) lost dit op.
DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.
Bij het investeren in ICT-systemen die gebruik maken van een DNS, zoals een website.
Detailinformatie
Implementatie
DKIM.nl Phishing Scorecard Wikipedia over DKIM Let op: Voor veilige toepassing van DKIM is het van belang om sleutels van tenminste 1024 bits te gebruiken, zoals de standaard ook voorschrijft. Voor meer informatie zie het advies van US-CERT d.d. 24 oktober 2012.
- Whitepaper "Deploying DNSSEC - Validation", SURFnet (2012)
- Cursus DNSSEC (SIDN)
- DNSSEC Workshop - NLnet Labs
- Rijksoverheden moeten hun domeinnamen onderbrengen bij de Rijks-registrar, Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken. Deze biedt ondersteuning voor DNSSEC en IPv6. (Zie informatie op Rijksportaal )
Signing ("Is een domein beveiligd met DNSSEC?"): DNSSEC Analyzer (Verisign)
Validation ("Controleert mijn provider de validiteit van de DNSSEC-handtekening?"):DNSSEC Test (SIDN)
- DNS: DNSSEC zorgt voor beveiliging van DNS.
- DKIM: Zie onder DKIM.
- PKIoverheid en TLS: DNSSEC werkt aanvullend aan PKI(overheid) en TLS. Deze laatste standaarden zorgen voor integriteit en vertrouwelijkheid van gegevensuitwisseling met een bepaalde domeinnaam, maar kunnen niet garanderen dat met het correcte IP-adres wordt gecommuniceerd. DNSSEC kan dat wel.
Adoptieadviezen
Bij de opname op de "pas toe of leg uit"-lijst heeft het College Standaardisatie een oproep gedaan aan: het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. Status: In uitvoering het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen. Status: In contact de verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren. Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. Status: In uitvoering
Toetsingsinformatie
Het registreren en in DNS publiceren van internet-domeinnamen (‘signing’). De registratieverplichting geldt enkel indien 'signed domain names' bij een registerhouder van een top-level domein (zoals SIDN voor .NL) geautomatiseerd aangevraagd kunnen worden;
Het vertalen van domeinnamen naar internetadressen en vice versa (‘validation enabled resolving’). Validatie is niet verplicht voor systemen die niet direct aan het publieke internet gekoppeld zijn (bijvoorbeeld clients/werkplekken binnen een LAN en interne DNS-systemen).
Overheden en instellingen uit de (semi-) publieke sector