image

Lichte stijging van IPv6, StartTLS, DMARC en DNSSEC in .nl-zone

maandag 25 januari 2021, 15:17 door Redactie, 10 reacties

Het afgelopen jaar is het gebruik van IPv6, StartTLS, DMARC en DNSSEC in de .nl-zone licht toegenomen, zo meldt de Stichting Internet Domeinregistratie Nederland (SIDN) vandaag, de organisatie die de .nl-domeinnamen beheert. Registrars die beveiligingsstandaarden voor e-mail op de domeinen in hun portfolio toepassen worden door de SIDN beloond.

Begin 2015 lanceerde de SIDN de Registrar Scorecard, een programma dat .nl-registrars voor hun bijdragen aan de kwaliteit van de .nl-zone van financiële 'incentives' voorziet. De Registrar Scorecard moet registrars stimuleren om verbeteringen door te voeren op vier gebieden: actief gebruik, IPv6, correcte contactgegevens en veiligheid. In 2019 ontvingen registrars nog 1,5 miljoen euro voor het gebruik van de e-mailstandaarden.

Ondanks deze financiële prikkel kende het gebruik van de standaarden vorig jaar slechts een lichte stijging. Het gebruik van IPv6 steeg met ruim vier procent naar een totaal van 34,3 procent van de hele .nl-zone. Ook het gebruik van StartTLS in combinatie met DANE kende een stijging van ruim vier procent en kwam uit op bijna twaalf procent. StartTLS versleutelt het verkeer tussen mailservers, wat het lastiger maakt voor aanvallers om het mailverkeer te onderscheppen of aan te passen.

De grootste stijging was voor DMARC in combinatie met DKIM en SPF dat uitkwam op 22,3 procent. Een toename van meer dan zes procent. Via DMARC kan worden ingesteld wat de mailserver moet doen als die een verdachte e-mail ontvangt. Daarnaast dwingt DMARC af dat de afzender van een e-mail die aan de 'buitenkant' van een e-mail wordt genoemd, dezelfde is als de afzender die in de e-mail wordt genoemd. DomainKeys Identified Mail (DKIM) moet het onderweg aanpassen van e-mails voorkomen, terwijl SPF (Sender Policy Framework) voorkomt dat iemand in naam van een organisatie e-mail kan versturen.

Het gebruik van DNSSEC groeide met iets meer dan één procent. DNSSEC is een extensie van DNS die moet voorkomen dat internetgebruikers naar malafide websites worden doorgestuurd. Het doet dit door DNS-responses via digitale handtekeningen en 'public key cryptography' te authenticeren.

De SIDN zou graag zien dat de groei wat sneller gaat. "Maar de ervaring leert dat het aan de man brengen van internetstandaarden een lange adem vergt", aldus de stichting. In de tweede helft van dit jaar start de SIDN een nieuwe incentive, die zich richt op het DNS in de hele breedte. Het gaat dan om een beloning voor technische eisen die aan een domeinnaam worden gesteld, zoals nameservers, bereikbaarheid, poorten en DNS-registratie.

Image

Reacties (10)
25-01-2021, 15:22 door Anoniem
Allemaal leuk, maar ik zou er de voorkeur aan geven als men in plaats van die man-in-the-middle bestrijding zich meer
zou richten op directe frauduleuze acties zoals het in de lucht brengen van phishing websites, het faciliteren en tolereren
van scannen en hacken vanaf Nederlandse servers, etc.
Daar komen we pas echt verder mee.
25-01-2021, 15:48 door Anoniem
Door Anoniem: Allemaal leuk, maar ik zou er de voorkeur aan geven als men in plaats van die man-in-the-middle bestrijding zich meer
zou richten op directe frauduleuze acties zoals het in de lucht brengen van phishing websites, het faciliteren en tolereren
van scannen en hacken vanaf Nederlandse servers, etc.
Daar komen we pas echt verder mee.
https://www.sidnlabs.nl/over-sidnlabs
25-01-2021, 18:32 door Anoniem
Er zijn veel domeinen die helemaal niet voor mail gebruikt worden, die krijgen bij https://internet.nl naar mijn smaak ten onrechte een vermelding in de hall of fame.
26-01-2021, 06:18 door Anoniem
Too little, too late,

#sockpuppet
26-01-2021, 08:35 door Anoniem
IPv6 ligt al jaren stil in dit land.
Komt door de grote ISP's die het simpelweg weigeren uit te rollen.
Neem een Ziggo, alleen mogelijk als je je IPv4 inlevert. en hun router gebruikt.

Wie het modem in bridge laat zetten kan het niet krijgen.
26-01-2021, 10:24 door Anoniem
security.nl geeft ook niet het goede voorbeeld. Deze website is nog steeds niet bereikbaar via IPv6, :(
26-01-2021, 10:42 door Anoniem
Door Anoniem:
Neem een Ziggo, alleen mogelijk als je je IPv4 inlevert. en hun router gebruikt.

Wie het modem in bridge laat zetten kan het niet krijgen.

Bij KPN/XS4ALL is dat dan weer geen probleem. En bij Ziggo hangt het ook af van waar je woont want Ziggo is 1 naam
voor een aantal in het verleden samengevoegde netwerken die allemaal anders werken. (Chello, @home, Casema, etc)
27-01-2021, 08:38 door Anoniem
Door Anoniem:
Door Anoniem:
Neem een Ziggo, alleen mogelijk als je je IPv4 inlevert. en hun router gebruikt.

Wie het modem in bridge laat zetten kan het niet krijgen.

Bij KPN/XS4ALL is dat dan weer geen probleem. En bij Ziggo hangt het ook af van waar je woont want Ziggo is 1 naam
voor een aantal in het verleden samengevoegde netwerken die allemaal anders werken. (Chello, @home, Casema, etc)

In routed mode heeft Ziggo het landelijk werkend meen ik.
Bridge mode alleen zakelijk.

KPN/XS4ALL doet dat beter, maar die leveren hier dan weer een verbinding waar ik niet mee uit de voeten kom. 30Mbit...
27-01-2021, 12:41 door Anoniem
Het grote probleem van deze nieuwe beveiligingslagen is juist dat ze een centrale infrastructuur nodig hebben waar men op kan vertrouwen en die altijd aanwezig moet zijn om überhaupt te werken.

En dat is juist direct tegen het principe van het Internet in. ARPANET is juist ontworpen om decentraal te zijn en dus heel moeilijk door 1 partij kapot gemaakt of overgenomen kan worden.

Dus waarom niet end-to-end verification toepassen? Alles wat ertussen zit is dan niet meer belangrijk.

En waarom anno 2021 nog een publiek IPv6 als toch al alles een cloud gebruikt om te connecten naar de rest van de wereld?
29-01-2021, 02:19 door Anoniem
Door Anoniem:
Dus waarom niet end-to-end verification toepassen? Alles wat ertussen zit is dan niet meer belangrijk.

Precies. Maar ik ben een leek, misschien ligt het daaraan. Waarom niet alles end-to-end encrypted versturen via postduif, telegraaf of internet?


En waarom anno 2021 nog een publiek IPv6 als toch al alles een cloud gebruikt om te connecten naar de rest van de wereld?
Er is echt heeeeeel veel shit wat geen cloud gebruikt. En ipv6 heeft meer voordelen dan alleen maar (veel) meer adressen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.