Een van de missies van DNS Belgium is de veiligheid van het internet in België te garanderen. We doen grote inspanningen en nemen talloze initiatieven om .be-domeinnamen zo veilig mogelijk maken. Met de Europese maand van de cybersecurity voor de deur leek het ons geen slecht idee om na te gaan hoe veilig .be-domeinnamen zijn. Dat blijkt goed mee te vallen, maar er is natuurlijk nog ruimte voor verbetering.
42 procent gebruikt https
Het meest gekende criterium om te bepalen of een website veilig is, is de https aan het begin. De "s" daarin slaat op secure, voluit wordt dat dan Hypertext Transfer Protocol Secure. Let wel, https zegt eigenlijk niets over de authenticiteit van de website zelf. Het bevestigt alleen dat de verbinding die je hebt met die website veilig is.
We hebben de crawler die we ontwikkeld hebben voor .be-websites, laten uitzoeken hoeveel .be-websites gebruik maken van https. Dat blijkt 42 procent te zijn. 38 procent gebruikt nog het onbeveiligde protocol (http). En nee, die som van beide komt niet op een totaal van 100 want van de 1.740.869 .be-domeinnamen zijn er 352.482 of 20 procent waaraan geen website is gekoppeld.
Die 38 procent die nog http gebruikt, is enigszins verontrustend, maar gelukkig moeten we dat percentage nuanceren. Amper 9 procent van die 38 zijn websites die actief gebruikt worden. De overige 29 procent noemen we ‘low content’ websites: er staat meestal een lege placeholderpagina. Als je je domeinnaam en website niet actief gebruikt, is het ook niet zo belangrijk dat de verbinding ernaartoe beveiligd is of niet.
Enkele maanden geleden kondigde Microsoft aan dat Windows 11 vanaf september de ondersteuning voor TLS 1.0 en 1.1 stop zal zetten. TLS (Transport Layer Security) is een securitylaag die met een publieke en een geheime sleutel werkt en data tijdens de transfer versleutelt.
Dat Microsoft stopt met TLS1.0 en 1.1 aan te bieden is voor de meeste websites geen probleem omdat ze al TLS1.2 of een recentere versie gebruiken. Voor de zekerheid hebben we toch maar even gekeken hoeveel .be-domeinnamen door die beslissing getroffen worden. Dat blijken er 3.190 te zijn.
1.613 ervan zijn low content. Wat betekent dat 1.574 websites met ‘echte content’ niet meer gaan werken na de update.
Je e-mailadres beveiligen
Bij een domeinnaam kunnen ook e-mailadressen horen. Om je e-mailadres te beschermen tegen spoofing en phishing kan je als domeinnaamhouder verschillende maatregelen nemen. Een ervan is het Sender Policy Framework (SPF). Dat is een lijst met goedgekeurde servers die e-mails mogen versturen vanop je domein. Zonder SPF zou iemand met kwade bedoelingen kunnen doen alsof hij e-mails uit jouw naam verstuurt. Domeinnaamhouders lijken zich goed bewust van het belang van SPF: voor 49,73 procent van de .be-domeinnamen wordt het SPF gebruikt.
Als het SPF een soort geverifieerde postbode is, zou je van DKIM (Domain Keys Identified Mail) kunnen zeggen dat het een stempel is die de envelop verzegelt en de authenticiteit van de afzender bevestigt. Voor 37,2 procent van de .be-domeinnamen bevestigen DKIM-handtekeningen de authenticiteit van e-mailberichten. Daar is dus wel wat ruimte voor verbetering.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) voltooit de rij van onuitspreekbare letterwoorden. Het is een extra controle die ervoor zorgt dat niets door de mazen glipt van de vorige twee maatregelen en het voor cybercriminelen nog moeilijker is om zich voor te doen als iemand anders. Amper een vijfde van de domeinnaamhouders beschermt zijn e-mails met DMARC.
Alles kan beter
We hebben een statistische steekproef gedaan bij 58.358 .be-domeinnamen om te onderzoeken hoe het zit met enkele minder bekende manieren om een website te beveiligen. Het gaat dan om mogelijkheden om extra beveiligingslagen aan je domeinnaam toe te voegen die ervoor zorgen dat hackers geen gegevens kunnen wijzigen op je website, die browsers vertellen dat ze automatisch https moeten gebruiken bij een volgend bezoek, en wat ze kunnen verwachten op je website. Voor de specialisten: het ging concreet over CSP, HSTS, X-Frame-Options en X-Content-Type-Options.
De steekproef maakt duidelijk dat we het gebruik van die mogelijkheden sterk moeten aanmoedigen, want maximum 20 procent van de .be-websites maakt gebruik van een van die mogelijkheden. (6 procent voor CSP, 14,2 procent voor HSTS, en 13,6 procent en respectievelijk 19,7 procent voor X-Frame-Options en X-Content-Type-Options).
De laatste beveiligingsmethode die we hebben getest is DNSSEC (Domain Name System Security Extensions). Die zorgt ervoor dat je kan nagaan of iemand je DNS-records probeert te vervalsen om je domeinnaam of website te stelen. Ook hier is er nog veel ruimte voor verbetering, want slechts 30 procent van de .be-domeinnamen is uitgerust met deze beveiligingsmaatregel.
Zijn .be-websites dan onveilig?
Helemaal niet. Ten eerste zijn alle websites waar belangrijke data worden uitgewisseld, zoals website van banken of overheidsportalen, zeer goed beveiligd in de .be-zone. Dit wil niet zeggen dat je niet op je hoede moet blijven voor phishing bijvoorbeeld.
Het zijn vooral de ‘kleinere’ websites, die eigendom zijn van particulieren, clubs of verenigingen, waar de correcte en veilige configuratie beter kan. Alleen door die te verbeteren kunnen we voorkomen dat een domeinnaam voor criminele doeleinden wordt gebruikt. Het is een gezamenlijke inspanning om beveiligingsprotocollen te implementeren en te verfijnen, zodat iedereen veiliger online kan.