Beveiliging van Nederlandse domeinnamen onder de maat

Het is slecht gesteld met de beveiliging van Nederlandse domeinnamen. Dat concludeert SIDN, de beheerder van het .nl-domein. SIDN heeft ruim 7.000 domeinnamen laten controleren in vier overkoepelende sectoren: financiële dienstverlening, publieke sector, internet- en telecombedrijven en bedrijfsleven.

Op dit moment is 46 procent van alle .nl-domeinen voorzien van een digitale handtekening (pdf). Vooral in de bankensector en bij de internetaanbieders blijft de beveiliging van domeinnamen achter. Overheden hebben daarentegen in de afgelopen drie jaar een grote stap gemaakt.

DNSSEC is de cryptografische beveiliging van domeinnaam-informatie. Hiermee wordt de ‘bewegwijzering’ van het internet veiliger en betrouwbaarder. Bezoekers van domeinnamen die beveiligd zijn met DNSSEC, zijn beter beschermd tegen omleiding naar valse IP-adressen.

Als een domeinnaam niet met deze beveiliging is uitgerust, bestaat de kans dat gebruikers worden omgeleid naar een namaakwebsite. Daarnaast vormt DNSSEC de basis voor nieuwe toepassingen, zoals het veiliger maken van e-mail en het eenvoudig delen van cryptografische sleutels om internetcommunicatie te beveiligen.

Uit een eerdere inventarisatie in 2014 bleek met name dat de financiële dienstverleners, beursgenoteerde ondernemingen, overheidsorganisaties en internetproviders nog een grote achterstand hadden ten opzichte van de overige onderzochte domeinen. In de tussentijd is het aantal ondertekende domeinnamen in deze sectoren weliswaar gegroeid, maar nog steeds minder dan in de overige domeinen.

Banken zouden de belangrijkste gebruikers moeten zijn van DNSSEC-beveiliging, maar zij scoren voor de tweede keer op rij het slechtst van alle onderzochte domeinnamen, zegt SIDN Bovendien hebben zij van alle bedrijven het meeste last van phishing en spoofing, iets waar DNSSEC in combinatie met DKIM en DMARC bescherming tegen kan bieden. In de afgelopen twee jaar zijn er verschillende nieuwe veiligheidstoepassingen bovenop de DNSSEC-infrastructuur geïmplementeerd.

In aanloop naar de Tweede Kamerverkiezingen op 15 maart 2017 heeft SIDN ook de domeinnamen van de politieke partijen, voorlichtingssites en wetenschappelijke bureaus meegenomen in de inventarisatie. Ruim de helft van de 74 onderzochte domeinen heeft de DNSSEC-beveiliging niet op orde.