Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

SIDN waarschuwt voor kwetsbare DNSSEC-instellingen

De titel van deze blog klinkt misschien wat sensatiebelust, maar gelukkig trok hij wel je aandacht. Bovendien klopt hij wel. Graag licht ik dit hieronder toe.

DNSKEY’s

In samenwerking met SIDN Labs, hebben onderzoekers van SURFnet en Universiteit Twente de kwaliteit van alle gesigneerde domeinnamen in .nl geanalyseerd. De onderzoekers hebben onder andere gekeken naar de lengte van de publieke sleutels in een zone file, de zogenaamde DNSKEY’s. Want wat is een geschikte lengte? Maak je ze lang, dan is dat weliswaar heel veilig maar worden DNS-antwoorden mogelijk te groot. Hou je de DNSKEY echter kort, dan is deze in theorie te kraken. Zeker als je deze DNSKEY’s niet of slechts met een grote interval vernieuwt (het zogenaamd ‘rollen’ van de sleutels).

Maar wat is ‘te kort’ eigenlijk?

Dit soort informatie over DNSKEY’s is beperkt voorhanden, maar wel heel relevant voor onze registrars. In hun rol van DNS-operator zijn zij meestal degenen die een domeinnaam van een DNSSEC-handtekening voorzien en daarmee de veiligheid van hun dienstverlening en die van het nl-domein als geheel verhogen.

512 bits voor RSA is simpelweg te kort

Vooropgesteld; een domeinnaam die is gesigneerd met behulp van DNSSEC is per definitie veel veiliger dan een ongesigneerde domeinnaam. Toch is de sleutellengte die een registrar kiest, een belangrijke factor in dit geheel. Goede documentatie hierover is echter schaars. Het mede dankzij SIDN Labs tot stand gekomen IETF-document, RFC6781 zegt in paragraaf 3.4.2 iets over de lengte van sleutelmateriaal. In dat document wordt gesteld dat ruwweg alles kleiner dan 700 bits een risico vormt, omdat er daadwerkelijk geslaagde kraakpogingen zijn geweest bij die lengte.

ECDSA dan maar?

Maar let wel, het hierboven genoemde RFC-document gaat uit van het RSA-algoritme. Wordt er bijvoorbeeld gebruik gemaakt van het relatief nieuwe Elliptic Curve (ECDSA), dan gelden hele andere minima. Ruwweg is een ECDSA-sleutel van 256-bits al net zo veilig is als de enorme 3072-bits lengte van een RSA-sleutel. Kortom, het gebruikte algoritme speelt een wezenlijke rol bij dit verhaal. Juist omdat ECDSA veilig blijft bij kortere lengtes, is het een interessant algoritme voor DNSSEC (de omvang van een DNS-antwoord doet ertoe; die wil je liefst klein houden). Helaas is ECDSA nog geen gemeengoed. Ook het registratiesysteem van SIDN (DRS) ondersteunt het nog niet, maar daar komt binnenkort verandering in. Ook enkele andere grote spelers (met name CloudFlare) hebben het omarmd en passen het al toe bij het signeren van hun domeinnamen.

Richtlijnen

Een RSA-sleutellengte van slechts 512 bits serieus aan de korte kant is voor een gesigneerde domeinnaam, hoewel er dus wellicht behoefte is aan duidelijker richtlijnen op dit gebied. Toch troffen de onderzoekers nog 270 .nl-domeinnamen aan met deze sleutellengte (waarvan 265 bij een specifieke registrar). Op een totaal van ruim 2,4 miljoen gesigneerde domeinnamen is dat gelukkig erg weinig. Maar het was aan de andere kant een kleine moeite om een paar registrars te wijzen op de, volgens huidige maatstaven, te zwakke beveiliging van hun domeinnamen. Inmiddels hebben we dit dan ook gedaan.

Er is zeker ruimte voor vervolgonderzoek en het opstellen van handige richtlijnen. Het is bijvoorbeeld ook interessant om te bekijken of publieke sleutels binnen .nl wel eens worden vernieuwd en zo ja met welke regelmaat. Dit is onderzoek dat prima past in het OpenIntel-project dat we samen doen met eerder genoemde instellingen.

Artikel door:

Marco Davids

Marco Davids

Research engineer