Lichte stijging van IPv6, StartTLS, DMARC en DNSSEC in .nl-zone
Het afgelopen jaar is het gebruik van IPv6, StartTLS, DMARC en DNSSEC in de .nl-zone licht toegenomen, zo meldt de Stichting Internet Domeinregistratie Nederland (SIDN) vandaag, de organisatie die de .nl-domeinnamen beheert. Registrars die beveiligingsstandaarden voor e-mail op de domeinen in hun portfolio toepassen worden door de SIDN beloond.
Begin 2015 lanceerde de SIDN de Registrar Scorecard, een programma dat .nl-registrars voor hun bijdragen aan de kwaliteit van de .nl-zone van financiële 'incentives' voorziet. De Registrar Scorecard moet registrars stimuleren om verbeteringen door te voeren op vier gebieden: actief gebruik, IPv6, correcte contactgegevens en veiligheid. In 2019 ontvingen registrars nog 1,5 miljoen euro voor het gebruik van de e-mailstandaarden.
Ondanks deze financiële prikkel kende het gebruik van de standaarden vorig jaar slechts een lichte stijging. Het gebruik van IPv6 steeg met ruim vier procent naar een totaal van 34,3 procent van de hele .nl-zone. Ook het gebruik van StartTLS in combinatie met DANE kende een stijging van ruim vier procent en kwam uit op bijna twaalf procent. StartTLS versleutelt het verkeer tussen mailservers, wat het lastiger maakt voor aanvallers om het mailverkeer te onderscheppen of aan te passen.
De grootste stijging was voor DMARC in combinatie met DKIM en SPF dat uitkwam op 22,3 procent. Een toename van meer dan zes procent. Via DMARC kan worden ingesteld wat de mailserver moet doen als die een verdachte e-mail ontvangt. Daarnaast dwingt DMARC af dat de afzender van een e-mail die aan de 'buitenkant' van een e-mail wordt genoemd, dezelfde is als de afzender die in de e-mail wordt genoemd. DomainKeys Identified Mail (DKIM) moet het onderweg aanpassen van e-mails voorkomen, terwijl SPF (Sender Policy Framework) voorkomt dat iemand in naam van een organisatie e-mail kan versturen.
Het gebruik van DNSSEC groeide met iets meer dan één procent. DNSSEC is een extensie van DNS die moet voorkomen dat internetgebruikers naar malafide websites worden doorgestuurd. Het doet dit door DNS-responses via digitale handtekeningen en 'public key cryptography' te authenticeren.
De SIDN zou graag zien dat de groei wat sneller gaat. "Maar de ervaring leert dat het aan de man brengen van internetstandaarden een lange adem vergt", aldus de stichting. In de tweede helft van dit jaar start de SIDN een nieuwe incentive, die zich richt op het DNS in de hele breedte. Het gaat dan om een beloning voor technische eisen die aan een domeinnaam worden gesteld, zoals nameservers, bereikbaarheid, poorten en DNS-registratie.
zou richten op directe frauduleuze acties zoals het in de lucht brengen van phishing websites, het faciliteren en tolereren
van scannen en hacken vanaf Nederlandse servers, etc.
Daar komen we pas echt verder mee.
zou richten op directe frauduleuze acties zoals het in de lucht brengen van phishing websites, het faciliteren en tolereren
van scannen en hacken vanaf Nederlandse servers, etc.
Daar komen we pas echt verder mee.
Komt door de grote ISP's die het simpelweg weigeren uit te rollen.
Neem een Ziggo, alleen mogelijk als je je IPv4 inlevert. en hun router gebruikt.
Wie het modem in bridge laat zetten kan het niet krijgen.
Neem een Ziggo, alleen mogelijk als je je IPv4 inlevert. en hun router gebruikt.
Wie het modem in bridge laat zetten kan het niet krijgen.
Bij KPN/XS4ALL is dat dan weer geen probleem. En bij Ziggo hangt het ook af van waar je woont want Ziggo is 1 naam
voor een aantal in het verleden samengevoegde netwerken die allemaal anders werken. (Chello, @home, Casema, etc)
Neem een Ziggo, alleen mogelijk als je je IPv4 inlevert. en hun router gebruikt.
Wie het modem in bridge laat zetten kan het niet krijgen.
Bij KPN/XS4ALL is dat dan weer geen probleem. En bij Ziggo hangt het ook af van waar je woont want Ziggo is 1 naam
voor een aantal in het verleden samengevoegde netwerken die allemaal anders werken. (Chello, @home, Casema, etc)
In routed mode heeft Ziggo het landelijk werkend meen ik.
Bridge mode alleen zakelijk.
KPN/XS4ALL doet dat beter, maar die leveren hier dan weer een verbinding waar ik niet mee uit de voeten kom. 30Mbit...
En dat is juist direct tegen het principe van het Internet in. ARPANET is juist ontworpen om decentraal te zijn en dus heel moeilijk door 1 partij kapot gemaakt of overgenomen kan worden.
Dus waarom niet end-to-end verification toepassen? Alles wat ertussen zit is dan niet meer belangrijk.
En waarom anno 2021 nog een publiek IPv6 als toch al alles een cloud gebruikt om te connecten naar de rest van de wereld?
Dus waarom niet end-to-end verification toepassen? Alles wat ertussen zit is dan niet meer belangrijk.
Precies. Maar ik ben een leek, misschien ligt het daaraan. Waarom niet alles end-to-end encrypted versturen via postduif, telegraaf of internet?
En waarom anno 2021 nog een publiek IPv6 als toch al alles een cloud gebruikt om te connecten naar de rest van de wereld?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
