Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

DNSSEC-metingen: de state of the art en aanbevelingen voor de toekomst

Een meetstudie van SIDN Labs en NLnet Labs in opdracht van ICANN

Digitaal cloudbeveiligingsconcept

DNSSEC zorgt ervoor dat de informatie die we uit het DNS opvragen ook daadwerkelijk klopt en niet onderweg is gewijzigd. In de beginfase lag de focus van de DNS-gemeenschap op het zo breed mogelijk uitrollen van DNSSEC. Nu, meer dan 17 jaar na de publicatie van de oorspronkelijke standaarden, is het tijd om naar de deploymentgraad te kijken. In opdracht van ICANN voerden we een DNSSEC Deployment Metrics-studie uit. Hierin vatten we samen hoe de DNS-gemeenschap de implementatie en de deployment van DNSSEC meet en geven we aanbevelingen hoe dat in de toekomst nog beter kan.

Het doel van DNSSEC-metingen

Met behulp van DNSSEC-metingen krijgen we zicht op de gebieden waar nog ruimte voor kwalitatieve en kwantitatieve verbetering is. Ook kunnen we op basis van de data de effectiviteit van de door de gemeenschap genomen maatregelen in kaart brengen en obstakels identificeren.

In opdracht van ICANN hebben we samen met NLnet Labs in kaart gebracht, hoe en op welke manier de DNS-gemeenschap de implementatie en deployment van DNSSEC meet. In ons recent gepubliceerde eindrapport identificeren we meer dan 60 verschillenden attributen en technieken die de DNS-gemeenschap daarvoor in het verleden heeft gebruikt.

Daarnaast doen we in ons rapport ook aanbevelingen aan ICANN, registry’s, en de meetgemeenschap om in de toekomst meer focus te leggen op vooral 3 aspecten van DNSSEC-deployment: de impact van DNSSEC, de kwaliteit van DNSSEC-implementaties, en hoe goed het DNS-ecosysteem voorbereid is op de uitdagingen van de toekomst.

Hieronder gaan we dieper in op de 3 verschillende aspecten. We leggen ook uit welke uitdagingen we bij het meten van DNSSEC-deployment tegen kunnen komen en welke invloed dit heeft op onze metingen.

Aanbeveling 1: Kijk naar de impact

Tijdens discussies met de DNS-gemeenschap kwamen we tot de conclusie dat niet puur het aantal ondertekende domeinnamen of het aantal validerende resolvers belangrijk is, maar vooral hoeveel DNS-transacties er met DNSSEC beschermd zijn.

Onze eerste aanbeveling is daarom om ook te kijken hoeveel van de DNS-query’s wereldwijd voor ondertekende domeinnamen zijn en hoeveel hiervan worden ook daadwerkelijk gevalideerd. We vinden het natuurlijk belangrijk dat meer dan 50% van alle .nl-domeinnamen ondertekend is, maar als dit weinig gebruikte domeinnamen zijn of als de meeste eindgebruikers geen gebruik maken van een validerende resolver, dan is alsnog een groot deel van de transacties onbeschermd.

We stelden vast dat dit moeilijk meetbaar is. Hiervoor zou direct inzicht in het verkeer van resolvers nodig zijn. Wel zijn we van mening dat initiatieven als Identifier Technology Health Indicators (ITHI) een mogelijke oplossing kunnen bieden. ITHI is een initiatief en software van ICANN die het voor resolvers mogelijk maakt om met weinig moeite en op een privacyvriendelijke manier informatie over DNS-verkeer met een breder publiek te delen.

We stellen daarom voor om het ITHI-programma met DNSSEC-metingen uit te breiden en meer beheerders van resolvers te stimuleren om ITHI ook uit te rollen.

Aanbeveling 2: Kwaliteit in plaats van kwantiteit

Onze tweede aanbeveling is meer inzicht op te bouwen in de manier waarop operators DNSSEC uitrollen. Verkeerd gebruik van DNSSEC verlaagt namelijk de veiligheid van DNSSEC en ondermijnt zo de betrouwbaarheid in DNSSEC in zijn geheel.

Een voorbeeld is dat sommige domeinnamen wel beveiligd zijn met DNSSEC, maar gebruikmaken van onveilige algoritmen zoals RSA SHA-1. Als we dan alleen maar kijken of een domeinnaam ondertekend is (kwantiteit), missen we dus belangrijke informatie over hoe goed de beveiliging is (kwaliteit). Zo is een domeinnaam met een RSA-SHA-1-handtekening door het onveilige algoritme in principe nog steeds kwetsbaar.

Een ander voorbeeld zijn zogenaamde ‘key rollovers’, waarbij een domeinnaam overstapt naar een veiliger algoritme. Onderzoekers hebben in het verleden regelmatig waargenomen dat deze rollovers niet correct werden uitgevoerd. Dit kan er in het ergste geval toe leiden dat domeinnamen voor een korte tijd onbereikbaar worden, wat tot meer werk bij beheerders van resolvers kan leiden. Die moeten dan namelijk hun gebruikers herhaaldelijk uitleggen waarom deze een bepaalde domeinnaam niet kunnen bereiken.

We raden daarom aan om meer focus te leggen op de gebruikte algoritmen op de juiste configuratie van recursieve resolvers en autoritatieve nameservers (zie ook de DNS Flag Days) en het ondersteunen van DNS-extensies zoals DNS-cookies, die het misbruik van DNSSEC in DDOS aanvallen kunnen beperken. Bij SIDN belonen we .nl-registrars bijvoorbeeld alleen nog maar voor .nl-domeinnamen die met moderne en veilige algoritmen gesigneerd zijn.

Aanbeveling 3: Houd rekening met de toekomst

De ontwikkelingen rond het DNS staan niet stil. Zo is het mogelijk dat in toekomst DNSSEC-algoritmen niet meer veilig genoeg zijn. Kwantumcomputers zouden deze algoritmen bijvoorbeeld efficiënt kunnen kraken. Voordat er grootschalige kwantumcomputers zijn moeten wetenschappers nog veel problemen oplossen, maar desondanks vinden we het belangrijk om nu al te onderzoeken hoe flexibel en toekomstbestendig DNSSEC is.

We raden daarom aan om ook te meten hoeveel domeinnamen al eerder een algoritme hebben vervangen. Deze domeinnamen kunnen in toekomst waarschijnlijk sneller op een ander algoritme overstappen, bijvoorbeeld die niet door kwantumcomputers te breken zijn.

Het is ook belangrijk om ervoor te zorgen dat het DNS om kan gaan met grote DNS-berichten. Veel van de kwantumveilige algoritmen die op dit moment geëvalueerd worden hebben zeer grote sleutels en/of handtekeningen. We bevelen daarom aan om continu in de kaart te brengen hoe betrouwbaar grote DNS-berichten verstuurd kunnen worden. TCP, maar ook nieuwere transportprotocollen als QUIC kunnen hierbij een belangrijke rol spelen.

DNSSEC-metingen: moeilijker dan je zou denken

Helaas is het meten van deze eigenschappen niet zo makkelijk als je zou denken. DNSSEC wordt namelijk aan ‘2 kanten’ van het DNS gebruikt: bij de domeinnaam en bij de recursieve resolvers die domeinnamen opzoeken. De meest voor de hand liggende en meest gebruikelijke meting is dan ook te toetsen of een domeinnaam met DNSSEC is ondertekend en of een recursieve resolver deze handtekeningen ook valideert.

Een probleem is dat niet alle domeinnamen voor iedereen bekend zijn. Zo is de rootzone publiek beschikbaar, maar niet alle zones van topleveldomeinnamen en sowieso niet de zones van domeinnamen lager in de DNS-hiërarchie. Onderzoekers die willen meten voor hoeveel domeinnamen DNSSEC is uitgerold, moeten de beheerders van de domeinnamen daarom vragen of ze toegang tot hun zones kunnen krijgen. Anders is het voor hen niet mogelijk om een compleet beeld van de mate van de DNSSEC-deployment te krijgen.

Het meten van DNSSEC-validatie bij resolvers kent nog grotere uitdagingen. Veel resolvers zijn om veiligheidsredenen alleen bereikbaar vanuit bepaalde netwerken, zoals die van een internetserviceprovider of een bedrijfsnetwerk. Als onderzoekers geen meetpunt binnen een van de toegestane netwerken hebben, kunnen ze lastig bepalen of een resolver daadwerkelijk valideert of niet. Het meten van DNSSEC-validatie werkt namelijk het meest nauwkeurig met hulp van actieve DNS-queries, waarbij een machine via resolver probeert een DNSSEC-domeinnaam te resolven.

Maar zelfs als onderzoekers over zo’n meetpunt beschikken, dan hoeft de meting niet de werkelijkheid te reflecteren. Zo kan een gemeten resolver niet zelf DNSSEC valideren, maar stuurt zijn queries door naar een andere resolver. Die verwerkt dan de aanvraag en voert ook de validatie uit. Voor een onderzoeker is dit verschil ‘van buitenaf’ lastig te meten.

In ons rapport hebben we daarom ook geëvalueerd welke meettechnieken het meest geschikt zijn voor het meten van bepaalden metrieken. De perfecte oplossing bestaat helaas niet. Onderzoekers moeten altijd een balans vinden tussen het aandeel gemeten DNS-componenten, kosten, en reproduceerbaarheid.

Zo biedt het meetplatform RIPE Atlas de mogelijkheid om resolvers op een reproduceerbare manier te meten, maar wel alleen van een beperkt aantal netwerken. Metingen met hulp van online reclames, uitgevoerd onder andere door APNIC, bieden inzichten in een groter aantal resolvers, maar hebben hogere kosten en zijn minder transparant.

Ons werk op het gebied van DNSSEC-metingen

Bij SIDN Labs en NLnet Labs hebben we veel ervaring met DNSSEC-metingen. Zo onderzochten we in het verleden al eens hoe lang het duurt om nieuwe algoritmen in DNSSEC uit te rollen, en welke kwantumveilige algoritmen mogelijk geschikt zijn om de huidige algoritmen in DNSSEC te vervangen.

Ook ondersteunen we andere onderzoekers bij het in kaart brengen van DNS en DNSSEC. Zo werken we nauw samen met de Universiteit van Twente en het OpenINTEL-project en delen informatie met dnssec-tools.org.

Tot slot publiceren we voor iedereen die over de nieuwste ontwikkelingen op het gebied van DNSSEC in .nl op de hoogte wil blijven, op stats.sidnlabs.nl continu en dagelijkse de nieuwste statistieken.

Jouw mening

We horen graag jouw mening over ons rapport. Waarop zou volgens jou de focus in toekomst moeten liggen? Ben je het eens met onze aanbevelingen? Hebben we iets gemist? En hoe en waar zouden deze metingen uitgevoerd moeten worden? Laat het ons weten via moritz.muller@sidn.nl.

Artikel door:

Moritz Muller

Moritz Müller

Research engineer

Portretfoto van Willem Toorop, developer en onderzoeker bij NLnet Labs

Willem Toorop

Developer en onderzoeker bij NLnet Labs

Marco Davids

Marco Davids

Research engineer

Jelte Janssen

Jelte Jansen

Research engineer