Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

SIDN gaat adoptie van internetstandaard DANE stimuleren

Standaard voor veiliger e-mail wordt onderdeel van de Registrar Scorecard

In de 2e helft van dit jaar voegen we de internetstandaard DANE toe aan de Registrar Scorecard (RSC), onze incentiveregeling voor de .nl-registrars. Deze standaard wordt randvoorwaardelijk voor het behalen van de incentive voor STARTTLS. Waarom we dit doen en wat DANE is, lees je in deze blog post.

Gebruik van moderne internetstandaarden een must

Aantal met DANE beveiligde mail-domeinen groeit inmiddels exponentieel

Via de RSC willen we het gebruik van moderne internetstandaarden bevorderen. Zo is IPv6 nodig voor betere, duurzame bereikbaarheid op een almaar groeiend internet. En dragen andere, relatief nieuwe, standaarden bij aan de veiligheid en betrouwbaarheid van het internet.

Een bekend voorbeeld is natuurlijk DNSSEC. Daarmee wordt de naam/adres koppeling (het DNS) flink beveiligd, waardoor het koppelen van een naam aan een vervalst adres wordt tegengegaan. En omwille van veiliger e-mail stimuleren we ook de standaarden DMARC, SPF en DKIM. Deze helpen bij het tegengaan van phishing, een veelgebruikte vorm van misbruik op internet. We sluiten hiermee trouwens aan bij de zogenaamde ‘pas toe of leg uit’-lijst van de overheid en adviezen van het NCSC.

STARTTLS (en de tekortkomingen ervan)

Hoewel tegenwoordig misschien lastig voorstelbaar, ging lange tijd veel dataverkeer onversleuteld over het internet. De verschillende protocollen hadden dit simpelweg nog niet ingebouwd. Gelukkig is er veel verbeterd. Het onversleutelde web-protocol HTTP kreeg een versleutelde variant die we kennen als HTTPS, doormiddel van het toevoegen van ‘Transport Layer Security’ (TLS). Beter bekend als het (groene) slotje in de adresbalk van je browser.

Ook het e-mailprotocol SMTP was van origine niet versleuteld. E-mail ging, zoals dat heet, in ‘plain text’ over de lijn. Makkelijk om mee te kijken dus. Dat komt helaas nog steeds vrij veel voor, ook al bestaat er inmiddels een TLS-uitbreiding aan de standaard, genaamd STARTTLS. Ook het gebruik van STARTTLS stimuleren we daarom via de RSC. Bij STARTTLS moeten mailservers onderling overeenstemming bereiken over het gebruik ervan, wanneer ze een mail met elkaar willen gaan uitwisselen. Lukt dat, dan gaat de e-mail in principe versleuteld over de lijn.

Maar het oorspronkelijke STARTTLS-systeem is niet waterdicht. Een aanvaller kan gemakkelijk de conversatie over het al dan niet activeren van STARTTLS verstoren, zodat er geen overeenstemming tot stand kan worden gebracht. De mailservers vallen dan terug op de oude manier van onversleuteld communiceren. In een ander aanvalsscenario is er weliswaar sprake van een versleutelde verbinding, maar op basis van valse certificaten die door een aanvaller zijn geïnjecteerd, aangezien mailservers deze niet goed op echtheid controleren.

MTA-STS en DANE

Er zijn 2 protocollen die hier iets tegen doen, namelijk MTA-STS, dat nog in ontwikkeling is en de DANE-standaard. Deze MTA-STS-standaard in wording heeft wat weg van het bekendere HTST. Het kent ook eenzelfde nadeel; er is sprake van een ‘trust on first use’-principe. Dus de eerste keer dat er contact is mag er geen aanvaller actief zijn, omdat de communicatie in dat stadium nog kwetsbaar is. Pas daarna is deze beveiligd. DANE heeft het bovengenoemde probleem niet. Het is van meet af aan, dus al vanaf het allereerste contact, veilig. Temeer omdat DANE, in tegenstelling tot MTA-STS, stevig leunt op DNSSEC.

Het oorspronkelijke toepassingsgebied van DANE was extra beveiliging van websites. Maar daar bleek grootschalige adoptie vooralsnog lastig, met name omdat nog niet alle eindgebruikers achter een DNSSEC-validerende resolver zitten. Voor de beveiliging van STARTTLS bij e-mailservers is DANE gemakkelijker te realiseren en we zien daar dan ook een gezonde groei in de adoptie. De standaard staat op ook de ‘pas-toe-of-leg-uit’-lijst en wordt dan aanbevolen door het NCSC. Overheden zijn dan ook verplicht om het te gebruiken.

Met additionele DANE-bescherming is een STARTTLS-verbinding niet langer facultatief. Een domeinhouder kan middels DANE aangeven: “mijn mailserver spreekt STARTTLS en als jij dat ook kunt, dan moet je het gebruiken als je me mailt”. Een aanvaller kan een sessie tussen 2 mailservers dus niet meer zomaar ‘downgraden’ naar een niet-versleutelde verbinding. Dat is een forse stap voorwaarts in de beveiliging van e-mail en daarom voegen we DANE toe aan de lijst van de veilige, moderne standaarden die we via de RSC stimuleren en belonen.

Artikel door:

Marco Davids

Marco Davids

Research engineer