DNSSEC

Als iemand een link intypt in een webbrowser, zoekt het Domain Name System (DNS) achter de schermen naar het bijbehorende IP-adres. De eigenaar van dat adres kan DNSSEC instellen. Dat is een handtekening, waarmee gecontroleerd kan worden of het opgehaalde IP-adres klopt. DNSSEC voorkomt dat de gebruiker stiekem wordt omgeleid en maakt internetten zo veiliger. Stel daarom altijd DNSSEC in voor uw domeinnamen.

Inhoudsopgave

Content

Status

Lijst status
  • ‘Verplicht ('Pas toe of leg uit’)' betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.
  • ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt.
  • ‘In behandeling’ betekent dat de standaard wordt getoetst voor opname op een van de lijsten.
  • ‘Archief’ betekent dat de standaard in het verleden op de lijst heeft gestaan of in behandeling is geweest en nu niet (meer) verplicht of aanbevolen wordt.
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied

Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).

DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.

Organisatorisch werkingsgebied

Benoemt de organisaties waarvoor de verplichting geldt.

Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

Aanvullende verplichtingen

Soms legt het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) voor een standaard verplichtingen op die verder gaan dan de verplichtingen zoals beschreven in de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.

Voor DNSSEC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.

Europese status

‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.

Ja

Nut en werking

Typering
Domeinnaambeveiliging
Nut

Met DNSSEC kan de ontvanger de echtheid van de domeinnaaminformatie (waaronder IP-adressen) controleren. Dit voorkomt bijvoorbeeld dat een aanvaller het IP-adres ongemerkt manipuleert (DNS-spoofing) en daarmee verstuurde e-mails omleidt naar een eigen mailserver of gebruikers misleidt naar een frauduleuze website.

Werking

Een domeinnaamhouder kan met DNSSEC een digitale handtekening toevoegen aan DNS-informatie. Aan de hand van deze handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) de inhoud en de ontvangen DNS-informatie valideren. Hierdoor is met grote waarschijnlijkheid vast te stellen dat het antwoord van de DNS onderweg niet is gemanipuleerd door derden.

Domein
Relatie met andere standaarden
Relatie met andere standaarden
Relatie met andere standaarden
Relatie met andere standaarden
Trefwoorden

Detailinformatie

Volledige naam

Domain Name System Security Extensions

Versie
RFC 4033, RFC4034, RFC4035
Specificatiedocument
Beheerorganisatie
IETF

Toepassing

Community

Organisaties waarbij men terecht kan voor adoptieondersteuning, best practices, use cases en/of nadere informatie over de standaard.

Hulpmiddelen

Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d.

Conformiteitstest

Hulpmiddelen of processen waarmee producten kunnen worden getest op conformiteit met de standaard.

Toetsingsinformatie

Toelichting bij opname

Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.

Adoptieadviezen

De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing van de standaard op de 'Pas toe of leg uit'-lijst of lijst aanbevolen standaarden.

Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan: 

  1. Het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. 
  2. Het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.  
  3. De verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren.  Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. 
Uitstekend beheer
  • ‘Ja’ betekent dat een nieuwe versie van de standaard na aanmelding op de lijst wordt overgenomen zonder aanvullende toetsing door het Forum Standaardisatie.
  • ‘Nee’ betekent dat een nieuwe versie van de standaard na aanmelding eerst door het Forum Standaardisatie wordt getoetst voordat de huidige versie op de lijst door de nieuwe versie kan worden vervangen.
Nee
Definitief
Forumadvies
Datum van aanmelding

Datum waarop een organisatie de standaard heeft aangemeld voor verplichten aan de overheid ('Pas toe of leg uit') of aanbevelen aan de overheid door plaatsing op een van de lijsten. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer zeven maanden.

26-11-2011

Datum van besluit

Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of een van zijn voorgangers heeft besloten de standaard op de lijst te plaatsen.

15-06-2012