Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

DNS voor de digitale overheid: is er voldoende redundantie?

We onderzochten de veerkracht en redundantie van de digitale overheidsdomeinen van Nederland, Zweden, Zwitserland en de Verenigde Staten

De oorspronkelijke blog is Engelstalig, dit is de Nederlandse vertaling ervan.

Online overheidsdiensten stellen burgers en ingezetenen in staat om, via het internet, digitaal met hun overheden te communiceren. Het DNS, dat domeinnamen vertaalt naar internetadressen, is het fundament onder de digitale overheid (e-gov). Samen met collega's van Universiteit Twente en het Nationaal Cyber Security Centrum hebben we onlangs een peerreviewed onderzoek gepubliceerd waarin we de weerbaarheid en redundantie van digitale overheidsdomeinen van 4 landen – Nederland, Zweden, Zwitserland en de Verenigde Staten – met elkaar vergeleken.

De gestage toename in het gebruik van digitale overheidsdiensten is recentelijk in een stroomversnelling geraakt door de COVID-19-pandemie. Digitale dienstverlening drukt de kosten, gaat sneller en is gemakkelijker toegankelijk voor mensen met beperkingen en mobiliteitsproblemen. De volgende afbeelding toont een deel van de digitale overheidsdiensten die door de gemeente Delft worden aangeboden: je kunt afspraken regelen, een verhuizing melden, een datum en locatie voor een huwelijk of partnerschap reserveren, en nog veel meer.

Screenshot van de website van de gemeente Delft.

Digitale overheidsdiensten worden aangeboden via het internet, waarvan het DNS een van de kerndiensten is. Dit betekent dat als het DNS faalt, domeinen onbereikbaar kunnen worden, wat het vermogen van overheden om hun burgers diensten te verlenen in gevaar brengt.

Pas geleden nog waren verschillende websites van de Amerikaanse staatsoverheid het slachtoffer van een DDoS-aanval, waardoor ze niet meer te bereiken waren.

Gezien deze risico's is het van het grootste belang dat de DNS-diensten van domeinen die door de digitale overheid worden gebruikt (hierna kortweg overheidsdomeinen genoemd) goed geconfigureerd zijn met maximale redundantieniveaus, zodat ze bestand zijn tegen verstoring of overbelasting. Het is niet altijd eenvoudig om tot de juiste configuratie te komen: het DNS heeft een groot aantal bewegende delen en sommige daarvan zijn complex en/of moeilijk te configureren.

Dit bracht ons ertoe om de DNS-configuraties van overheidsdomeinen te beoordelen op voldoende redundantie op de verschillende lagen.

Datasets

Het blijkt lastig te zijn om een lijst van overheidsdomeinen per land te verwerven: veel landen gebruiken hun eigen ccTLD's voor deze domeinen, maar er is geen openbare lijst die door overheden wordt verstrekt.

In plaats daarvan richtten we ons op 4 verschillende landen waarvan we wel aan gegevens konden komen: van onze contacten in Nederland, Zweden en Zwitserland kregen we gecureerde lijsten, terwijl de .gov-domeinnamen van de Verenigde Staten openbaar beschikbaar zijn. De volgende tabel toont het aantal domeinnamen (secondleveldomeinen, zoals example.nl) dat we voor elk land identificeerden en het aantal inwoners per land.

Resultaten: DNS-aanbieders

De eerste metriek die we onder de loep namen, was het aantal verschillende DNS-aanbieders dat door overheidsdomeinnamen wordt gebruikt. In de volgende afbeelding heeft example.nl bijvoorbeeld 2 NS-records, elk met een eigen IP-adres, die worden aangekondigd door 2 verschillende Autonome Systemen (AS'en), dus zeggen we dat het 2 DNS-aanbieders heeft.

We zien dat grofweg 40% van de Nederlandse, Zweedse en Zwitserse overheidsdomeinnamen gebruikmaakt van een enkele DNS-aanbieder (via IPv4). Voor de VS zien we dat 82% van de overheidsdomeinen een enkele aanbieder gebruikt.

Je zou kunnen aanvoeren dat deze metriek bedrieglijk is: als je alles bij een cloudprovider host, zou er geen probleem moeten zijn. Nou, ook bij clouds gaat het weleens mis, zoals AWS en Dyn hebben laten zien. En zelfs amazon.com gebruikt AWS niet voor DNS, want daar gebruiken ze 2 externe DNS-aanbieders. Hoewel we niet voor hen kunnen spreken, vermoeden we dat dit om dezelfde reden is: redundantie.

DNS-markt is zeer lokaal

Wie zijn die DNS-aanbieders? De resultaten zijn te zien in de volgende tabel. DNS-diensten blijken sterk gelokaliseerd te zijn – lokale bedrijven domineren de markt. We denken dat dit komt doordat lokale overheden zelf hun DNS- en hostingdiensten kunnen kiezen en hun keuze dan laten vallen op hun vertrouwde lokale bedrijven.

Resultaten: aantal routeringsprefixen

Als de DNS-servers van een overheidsdomeinnaam dezelfde routeringsprefixen delen, betekent dit dat ze vanaf dezelfde locatie(s) worden aangekondigd en dus niet topologisch divers zijn. Dit creëert een vals gevoel van redundantie, gezien het feit dat ze grote delen van hun netwerkinfrastructuur gemeen hebben. Een aanval op servers met de desbetreffende prefixen zou de bereikbaarheid van de overheidsdomeinnamen in gevaar kunnen brengen.

Om die reden bepaalden we het aantal prefixen per domeinnaam, zoals te zien is in de volgende afbeelding: het aantal BGP-prefixen in routeringstabellen dat overeenkomt met de IP-adressen van de DNS-servers van de overheidsdomeinen. We maakten hiervoor gebruik van de IP to prefix datasets van CAIDA.

We zien dat grofweg een derde van de Zwitserse overheidsdomeinnamen wordt aangekondigd door een enkel voorvoegsel, terwijl dat cijfer voor elk van de andere landen minder dan 20% was. Vertrouwen op een enkel voorvoegsel creëert onnodige risico's en we adviseren de operators van de domeinen in kwestie hun netwerken te diversifiëren om zo hun weerbaarheid te vergroten en de kans op bijkomende schade te minimaliseren.

Resultaten: aantal TLD's

De volgende metriek die we bekeken, was het aantal topleveldomeinen (zoals .nl en .com) dat elk overheidsdomein voor zijn DNS-servers gebruikt. In de volgende afbeelding zien we bijvoorbeeld dat er 2 TLD's (.nl en .com) voor dit domein zijn. Als een van deze TLD's om een of andere reden onbereikbaar zou worden, zouden resolvers nog steeds de autoritatieve servers van het andere TLD kunnen bereiken en uiteindelijk de DNS-records voor hun overheidsdomein kunnen ophalen.

We verkregen de volgende resultaten: op de laatste plaats staat Zwitserland, waar de autoritatieve servers van meer dan 90% van de overheidsdomeinen een enkel TLD gebruiken – .ch, het Zwitserse ccTLD. Op de derde plaats vinden we de Verenigde Staten, waar 83% van de overheidsdomeinen afhankelijk is van een enkel TLD (.com). Zweden, waar 60% van de overheidsdomeinen afhankelijk is van een enkel TLD (.se), staat op de tweede plaats. Nederland doet het beter, al is het aantal DNS-servers van overheidsdomeinen dat afhankelijk is van een enkel TLD (.nl) met 40% nog steeds aanzienlijk.

Waarom zo'n grote afhankelijkheid?

We denken dat de verklaring voor deze resultaten is dat veel van de websites toebehoren aan lokale overheden en het is mogelijk dat die meestal gewoon de DNS-diensten gebruiken die door hun registrars worden geboden. Als zodanig zijn ze overgeleverd aan de beleidskeuzes van hun registrars: als een registrar een diverse reeks TLD's heeft, hebben de lokale overheden in kwestie daar automatisch profijt van. Een optie zou zijn om een tweede DNS-aanbieder te gebruiken die met andere TLD's werkt.

Resultaten: anycastadoptie

IP-anycast is een techniek waarmee dezelfde IP-prefix vanaf meerdere locaties kan worden aangekondigd. IP-prefixen werden altijd aangekondigd vanaf een enkele fysieke locatie. Met anycast kun je dezelfde prefix wereldwijd vanaf meerdere locaties aankondigen, zoals in de volgende afbeelding wordt geïllustreerd.

Op deze manier wordt het verkeer verdeeld over de anycastlocaties, waardoor het moeilijker is om een effectieve DDoS-aanval uit te voeren op een anycastnetwerk – sommige sites blijven misschien in de lucht, terwijl andere misschien actief blijven en diensten leveren. We hebben onderzocht hoe anycast reageert op DDoS-aanvallen en een informatieve RFC geschreven met punten van overweging voor anycastoperators.

Als we kijken naar de mate waarin voor overheidsdomeinen gebruik wordt gemaakt van anycast, zien we dat de adoptie in de Europese landen vrij laag is – in Zwitserland heeft minder dan 3% van de overheidsdomeinen minimaal 1 anycastserver. De Verenigde Staten presteren beter, met meer dan 55% van hun overheidsdomeinen op anycastservers. In Nederland ligt het percentage op ongeveer 20% en in Zweden op 12%.

Net als bij het gebruik van topleveldomeinen ligt de verklaring hiervoor bij de operationele beslissingen van de registrars en DNS-aanbieders die door de beheerders van de overheidsdomeinnamen zijn gekozen. De situatie zou kunnen worden verbeterd door secundaire aanbieders van anycast in te zetten.

Samenvatting

De domeinen voor digitale overheidsdiensten vervullen in veel landen een cruciale rol. We hebben 4 landen onder de loep genomen en laten zien dat de DNS-diensten voor hun digitale overheid nog steeds kunnen worden verbeterd en weerbaarder kunnen worden gemaakt door extra redundantie toe te voegen op het vlak van DNS-aanbieders, routeringsprefixen en TLD's en door gebruik te maken van IP-anycast.

Als je meer wilt weten over dit onderwerp, lees dan onze peerreviewed paper met alle experimentele details en aanvullende resultaten, en bekijk onze presentatie tijdens RIPE86.

Artikel door:

Giovane Moura

Giovane Moura

Data Scientist