Merendeel van Nederlandse domeinen en internetters gebruikt DNSSEC-beveiliging

De beveiligingstechniek DNSSEC wordt in Nederland al op grote schaal gebruikt: bijna 60 procent van alle .nl-domeinen is met DNSSEC beveiligd. Grofweg 60 procent van alle binnenkomende queries op de autoritatieve nameservers voor .nl is afkomstig van validerende resolvers (wereldwijd).

Het slechte nieuws is, zo meldt domeinorganisatie SIDN, dat de verdere groei al een paar jaar stilstaat: Het aandeel beveiligde domeinnamen groeide de afgelopen 4 jaar met maar 1 à 2 procentpunt per jaar. En waar KPN twee jaar geleden begon met validatie voor zijn klanten, ondersteunt VodafoneZiggo deze beveiligingstechnologie nog steeds niet. Internationaal gezien zijn er vooral heel veel topleveldomeinen die DNSSEC wel ondersteunen, maar waarvan het aandeel ondertekende domeinnamen daarbinnen verwaarloosbaar is bij gebrek aan stimulering.

Nederland is wereldwijd nog steeds een van de koplopers als het gaat om de ondertekening van domeinnamen: inmiddels is bijna 60 procent van alle .nl-domeinen met DNSSEC beveiligd (situatie december 2022). Hoewel het aandeel beveiligde domeinnamen nog steeds doorstijgt, gaat dit inmiddels wel tergend langzaam: de afgelopen 4 jaar zaten we op een groei van 1 à 2 procentpunt per jaar.

Wat betreft de validatie liepen we in Nederland lange tijd achter op de rest van de wereld. Specifiek voor de Nederlandse internetgebruikers was het probleem dat de twee grootste Nederlandse accessproviders, KPN en Ziggo, beide geen validatie op hun DNS-servers ondersteunden.

In 2020 heeft KPN (eindelijk) validatie aangezet voor zijn KPN/Telfort-klanten. VodafoneZiggo ondersteunt echter nog steeds geen validatie. Daarmee maakt nu ongeveer 60 procent van de Nederlandse internetgebruikers gebruik van een validerende resolver.

Zo (relatief) goed als het inmiddels gaat met de adoptie van DNSSEC in Nederland, zo slecht gaat het met de adoptie van DNSSEC wereldwijd. Vooral de toepassing van DNSSEC binnen de topleveldomeinen (dat wil zeggen: de ondertekening van domeinnamen) blijft wereldwijd gezien sterk achter.

De ondersteuning van DNSSEC is door ICANN verplicht gesteld vanaf 1 januari 2014, wat betekent dat in ieder geval alle nieuwe gTLD’s deze beveiligingstechnologie ondersteunen.

Op dit moment wordt DNSSEC (ondertekening) door ruim 90 procent van alle ccTLD’s ondersteund (situatie december 2022). Opvallende uitzondering is Turkije. Op onderstaande kaartje kun je zien dat het vooral ccTLD’s in de Balkan, Afrika, het Midden-Oosten en Centraal-Azië zijn die DNSSEC nog niet ondersteunen.