Wat zeggen de testresultaten?

Voor iedere ccTLD (Country Code Top Level Domain, dus bijvoorbeeld .nl, .be en .de) is er een centrale partij de uitgever. Deze houdt in de gaten wie welke domeinnaam heeft, zorgt dat alles netjes gebeurt, dat er geen dubbele namen worden uitgegeven en meer van dat soort dingen.

Dat dit Binnen het Nederlandse domein allemaal wordt bijgehouden door de SIDN zal niemand vreemd zijn. De Stichting Internet Domeinregistraties Nederland houdt, in opdracht van de Nederlandse overheid, het .nl-internet online.

Maar SIDN doet nog veel meer dan dat. Regelmatig worden er webinars en cursussen gegeven voor registrerende partijen (zoals Flexwebhosting) met voor de hostingwereld interessante informatie over belangrijke ontwikkelingen. Niet alleen dat, ze hebben zich ook veel ingezet voor DNSSEC, een beveiligingsmaatregel om domeinnaam-kaping te voorkomen en publiceren bijvoorbeeld regelmatig duidelijke blog-artikelen die ook voor ‘de normale burger’ goed zijn om te lezen.

Een van die extra initiatieven is de website internet.nl. We krijgen er regelmatig vragen of opmerkingen over. Genoeg om er eens wat dieper in te duiken. Wat doet internet.nl eigenlijk? Wat zeggen ze? En klopt de conclusie wel?

Waarom?

Zelf omschrijven ze zich als volgt:

Op Internet.nl kun je eenvoudig testen of je internet up-to-date is. Gebruiken jouw website, e-mail en internetverbinding wel moderne, betrouwbare Internetstandaarden? En, als dat niet zo is, wat kun je daar aan doen?

Volgens de informatie op de website wordt er door drie miljard internetgebruikers gebruik gemaakt van verouderde standaarden die nog uit de tijd van de Beatles en Abba stammen. Doordat het gebruik van het internet over de decennia is aangepast, moeten de standaarden mee evolueren.

Om gebruikers en providers een gemakkelijk stuk gereedschap te kunnen bieden dat controleert of ‘jouw internet’ inmiddels mee is geëvolueerd, is internet.nl opgezet.

Overigens ook nog wel even belangrijk om te melden: dit project komt niet alleen van de SIDN. Ook andere grote spelers van internettend Nederland, zoals de Dutch Hosting Provider Association (DHPA), ISPConnect, NCSC (Nationaal Cyber Security Centrum) en zelfs het Ministerie van Economische Zaken, doen mee.

De tests

Als je een test start via Internet.nl, krijg je binnen enkele seconden het antwoord op de vraag “Is jouw internet up to date?”. Er wordt gecontroleerd op drie onderdelen:

• Moderne verbinding (IPv6)
• Beveiliging domeinnaam (DNSSEC)
• Beveiliging website (HTTPS)

Als je de resultaten bekijkt, behaalt ‘slechts’ een kleine 6 procent van de geteste websites de 100%.

IPv6

De eerste test is er eentje voor de verbinding naar de website toe. Dat gebeurde ‘vroeger’ altijd met IPv4, waarbij een IP-adres nog enigszins leesbaar is. 127.0.0.1 is een bekende, 192.168.0.1 vast ook wel (beide lokaal).

Maar, als je ‘maar’ vier groepen van drie cijfers hebt om IP-adressen uit te geven, raken ze een keer op. Je hebt dan nog steeds een slordige drie-komma-zeven-miljard adressen beschikbaar, maar toch.

Met de introductie van IPv6 wordt er een einde gemaakt aan het tekort. Als je alle niet uitgegeven of gereserveerde adressen niet mee telt, zijn er alsnog 4.2*10^37 adressen beschikbaar. Zo ver heb ik nooit leren tellen op school.

Als we de test uitvoeren op een site die niet via IPv6 bereikbaar is, krijgen we een rood kruis te zien.

Helaas! Je website is niet bereikbaar voor bezoekers die een modern internetadres gebruiken, of er is verbetering mogelijk.

Jammer, maar dat is niet correct. Je website is namelijk prima bereikbaar voor bezoekers die een modern (IPv6) internetadres gebruiken. Als je dit namelijk zou geloven, zouden gebruikers die wél al een IPv6 adres gebruiken, maar 6% van de geteste sites kunnen benaderen. En daarbij heeft slechts 11% van de verbindingen in Nederland IPv6 beschikbaar.

Nee, zo werkt dat dus niet. Nee, je website is inderdaad niet via IPv6 bereikbaar, maar wel gewoon via IPv4. En iedere internetter gebruikt altijd IPv4 of IPv6.

Bottom line: als je voor dit onderdeel niet slaagt, is er geen vuiltje aan de lucht.

Bij Flexwebhosting: Wij hebben nog geen IPv6 beschikbaar. Het netwerk is er wel al klaar voor, maar we zijn er nog niet helemaal uit hoe we de IPv6 adressen gaan uitdelen, hoe veel dat men er krijgt en hoe we dat bij gaan houden. We hebben wel een projectteam dat hier erg enthousiast mee bezig is.

DNSSEC

De volgende test gaat over de veiligheid van je domeinnaam zelf. Hierover schreven we in 2014 al eens een keer een uitgebreider artikel toen we DNSSEC binnen Flexwebhosting lanceerden.

Het gebruik van DNSSEC wordt steeds breder uitgerold. Ruim 50% van alle .nl domeinnamen wordt inmiddels ondertekend, zoals dat heet. Het is een extra stapje beveiliging, waarbij er op basis van publieke sleutels gecontroleerd wordt of de informatie die jij krijgt over de domeinnaam die je bezoekt ook daadwerkelijk klopt.

Waar IPv6 vooral op netwerk technisch gebied erg lastig is om uit te rollen (en administratief – hoe ga je zo veel IP-adressen bijhouden?!), gaat het bij DNSSEC vooral om hoe de provider om gaat met verschillende koppelingen.

In essentie is het namelijk zo simpel als:

1. Je nameserver een privé slot met publieke sleutel laten maken
2. Die sleutel aan de SIDN geven
3. Alle DNS-records in de nameserver achter het privé slot plaatsen

Het moeilijkste is hierbij vermoedelijk stap 2: er moet namelijk via een API met de SIDN (of andere provider) gebabbeld worden. De in stap 1 aangemaakte publieke sleutel moet daar naar toe worden gestuurd, zodat die ook daadwerkelijk publiek kan worden.

Voor de rest hoef je niets te doen. De nameserver (vaak Bind, Named of PowerDNS) doet het aanmaken van het slot+sleutel en het achter slot en grendel zetten volledig automatisch.

Bottom line: DNSSEC speelt, in tegenstelling tot IPv6, wél een rol bij het beveiligen van het internet én is redelijk gemakkelijk te implementeren.

Bij Flexwebhosting: Voor .nl domeinnamen die bij ons geregistreerd zijn en van onze nameservers gebruik maken, verzorgen wij de DNSSEC beveiliging. Andere extensies worden op dit moment uitgerold.

HTTPS

Over SSL en HTTPS zelf hoeven we niet veel meer te zeggen. We zouden alleen maar in herhaling vallen. AVG, anyone?

De test van internet.nl is relatief uitgebreid. Er wordt niet alleen gecontroleerd of er een SSL-certificaat aanwezig is, maar ook hoe die verbinding staat ingesteld en hoe het er aan de kant van de server uit ziet.

Deze test is het gemakkelijkste om een goede score op te krijgen. Zodra je een SSL-certificaat op de website activeert en, bijvoorbeeld middels een .htaccess-bestand, bepaalde instellingen goed zet, krijg je al een hele zwik groene vinkjes te zien.

Omdat hier een gedeelte op serverniveau plaatsvindt (hetzij in de webserver-configuratie of in een .htaccess-bestand), zullen we hier binnenkort een extra artikel aan wijden. We gaan dan ook dieper in op de vermelding van DANE en TLSA en wat dat verder inhoudt.

Bottom line: Naast het feit dat groene vinkjes en slotjes in browsers natuurlijk helemaal leuk zijn, is het beveiligen van je website middels een SSL-certificaat (meestal) verplicht onder de AVG. Heb je de keuze, zou je dit dus altijd moeten doen.

Bij Flexwebhosting: SSL-certificaten zijn er in allerlei soorten en maten. Meer informatie over de mogelijkheden staan in dit artikel van twee weken geleden.

Conclusie

Initiatieven om het internet duidelijker, moderner en veiliger te maken juichen we met z’n allen toe. Juist door dit soort ondernemingen gaan we vooruit als digitale maatschappij.

Als er dan met relatief kleine handelingen een mooie winst geboekt kan worden, zijn we het eigenlijk aan onszelf en onze bezoekers verplicht om daarin mee te gaan. Een duidelijke tool zoals Internet.nl helpt daar zeker in mee.

Maar, net zoals altijd, blijf ook zelf goed nadenken. Klopt het wel wat er gesteld wordt? Wat staat er in de uitgebreidere uitleg? En hoe kan ik zelf zorgen dat ik nóg beter op de hoogte ben van van alles?