Ruim de helft van de .nl-domeinen is niet goed beveiligd
Het is slecht gesteld met de DNSSEC-beveiliging van Nederlandse domeinnamen. Op dit moment is 46% van alle .nl-domeinen voorzien van een digitale handtekening. Vooral in de bankensector (6%) en bij de ISP’s (22%) blijft de beveiliging van domeinnamen met DNSSEC achter. Overheden hebben daarentegen in de afgelopen drie jaar een grote stap gemaakt.
Dat concludeert SIDN, de beheerder van het .nl-domein, in de DNSSEC-inventarisatie 2017. Het rapport biedt inzicht in de stand van zaken rondom de DNSSEC-beveiliging op domeinnamen die belangrijk zijn voor Nederland.
DNSSEC
DNSSEC is de cryptografische beveiliging van domeinnaam-informatie. Hiermee wordt de ‘bewegwijzering’ van het internet veiliger en betrouwbaarder. Bezoekers van domeinnamen die beveiligd zijn met DNSSEC, zijn beter beschermd tegen omleiding naar valse IP-adressen. Als een domeinnaam niet met deze beveiliging is uitgerust, bestaat de kans dat gebruikers zonder dat ze het weten worden omgeleid naar een namaakwebsite waar valse informatie wordt gepubliceerd. Daarnaast vormt DNSSEC de basis voor nieuwe toepassingen, zoals het veiliger maken van e-mail en het eenvoudig delen van cryptografische sleutels om internetcommunicatie te beveiligen.
In aanloop naar de Tweede Kamerverkiezingen op 15 maart 2017 heeft SIDN ook de domeinnamen van de politieke partijen, voorlichtingssites en wetenschappelijke bureaus meegenomen in de inventarisatie. Ruim de helft (54%) van de 74 onderzochte domeinen heeft de DNSSEC-beveiliging niet op orde.
Flinke verbetering overheden
Uit een eerdere inventarisatie in 2014 bleek met name dat de financiële dienstverleners, beursgenoteerde ondernemingen, overheidsorganisaties en internetproviders nog een grote achterstand hadden ten opzichte van de overige onderzochte domeinen. In de tussentijd is het aantal ondertekende domeinnamen in deze sectoren weliswaar gegroeid, maar dit aantal ligt steeds lager dan in de overige domeinen. Overheden zijn de uitzondering op de regel en doen het een stuk beter vergeleken met drie jaar geleden. 59% van de domeinnamen van de overheid zijn ondertekend, waarmee de overheid in de top drie van de ranglijst staat. In 2014 was nog slechts 11% van de overheid-websites beveiligd.
“Banken zouden de belangrijkste gebruikers moeten zijn van DNSSEC-beveiliging, maar zij scoren voor de tweede keer op rij het slechtst van alle onderzochte domeinnamen. Met het sluiten van de fysieke bankkantoren en het verminderen van het aantal pinautomaten wordt de online voordeur van de banken steeds belangrijker. Bovendien hebben zij van alle bedrijven het meeste last van phishing en spoofing, iets waar DNSSEC in combinatie met DKIM en DMARC bescherming tegen kan bieden”, aldus Roelof Meijer, algemeen directeur SIDN.
Positie DNSSEC verbeterd
In de afgelopen twee jaar zijn er verschillende nieuwe veiligheidstoepassingen bovenop de DNSSEC-infrastructuur geïmplementeerd. Hiermee is de positie van DNSSEC veranderd van een technologie-gedreven kostenpost naar een enabler voor belangrijke beveiligingstoepassingen die phishing, spamming, spoofing en malafide e-mails tegengaan.
Tevens zijn de problemen rondom het veilig verhuizen van domeinnamen recent opgelost. SIDN heeft een techniek ontwikkeld waarmee registrars wereldwijd op dezelfde, uniforme wijze via EPP (Extensible Provisioning Protocol) domeinnamen veilig kunnen verhuizen. Deze techniek is vorige week officieel tot wereldwijde standaard uitgeroepen door de Internet Engineering Task Force (IETF).
Grote internet service providers zijn aan zet
“Op basis van deze ontwikkelingen zijn wij ervan overtuigd dat er geen argumenten meer zijn om DNSSEC-beveiliging niet te implementeren”, aldus Meijer. “Wij zijn van mening dat vooral de grote internet service providers nu aan zet zijn. De handtekeningen van domeinnamen moeten immers ook ergens worden gecontroleerd en dat is een taak voor deze partijen. XS4ALL heeft eind vorig jaar een belangrijke stap gezet door als eerste landelijke internetprovider DNSSEC te gaan valideren.”
Voor de DNSSEC-inventarisatie 2017 heeft SIDN ruim 7.000 domeinnamen laten controleren in vier overkoepelende sectoren: financiële dienstverlening, publieke sector, internet- en telecombedrijven en bedrijfsleven. Hierbij is gebruikgemaakt van de DNSSEC Portfolio Checker van SIDN Labs.
Meer over
Lees ook
HYCU introduceert 's werelds eerste Data Protection Development Platform voor SaaS
HYCU, Inc., 's werelds snelst groeiende multi-cloud gegevensbeschermingsbedrijf, heeft R-Cloud onthuld, waarmee Software as a Service (SaaS)-bedrijven en Independent Software Vendors (ISV's) binnen enkele dagen back-up- en hersteldiensten kunnen leveren voor hun SaaS-aanbod.
Lookout kondigt ’s werelds eerste endpoint to cloud securityplatform aan
Securitybedrijf Lookout komt met verbeterde functionaliteit en functies voor het Lookout Cloud Security Platform: ‘s werelds eerste endpoint-tot-cloud securityoplossing. Het cloud-native platform van Lookout biedt nu een uniform beleidskader voor beheer en handhaving voor alle mobiele devices en voor cloud-, internet- en private apps.
Arista verbetert security door integratie NDR met Microsoft Azure Sentinel
Arista integratie NDR met Microsoft Azure Sentinel Arista Networks is lid geworden van de Microsoft Intelligent Security Association (MISA). Dat is een ecosysteem van onafhankelijke software- en securityleveranciers, die door het integreren van hun oplossingen een betere bescherming kunnen bieden tegen het toenemend aantal cyberdreigingen.