Wat houdt de controle in?

Internet.nl controleert of jouw website en e-mailserver een IPv6-adres hebben. IPv6 is de moderne opvolger van het oude internetprotocol (IPv4). Er wordt gekeken of de digitale ‘wegwijzers’ (DNS-records) van jouw domein correct verwijzen naar dit nieuwe type adres.

Waarom is het belangrijk?

Je kunt een IP-adres vergelijken met een digitaal telefoonnummer. Het oude systeem (IPv4) is echter vol; er zijn geen nieuwe nummers meer beschikbaar. IPv6 lost dit op met een vrijwel onbeperkte voorraad adressen.

• Toekomstbestendig: Steeds meer internetgebruikers (vooral op mobiele netwerken) krijgen alleen nog een IPv6-adres. Zonder IPv6 moet hun verbinding via een ‘omweg’ naar jouw site, wat trager is en minder betrouwbaar kan zijn.

• Kwaliteitssignaal: Omdat het instellen van IPv6 technische nauwkeurigheid vereist, is een goede score een bewijs dat jouw IT-omgeving modern en professioneel wordt beheerd. Dit draagt bij aan het vertrouwen.

Wat kun je doen als de score onvoldoende is?

Neem contact op met je (web)hosting- of e-mailprovider.

• Stel de vraag: “Uit de Internet.nl-scan blijkt dat ons domein nog niet (volledig) bereikbaar is via IPv6. Kunnen jullie de benodigde adressen configureren en voor onze website een ‘AAAA-record’ aanmaken?”

Wat houdt de controle in?
Internet.nl controleert of de DNS-servers van jouw domein altijd bereikbaar zijn. DNS is de dienst die jouw domeinnaam (bijv. www.bedrijf.nl) vertaalt naar het bijbehorende IP-adres. De test kijkt specifiek of er minimaal twee verschillende servers aanwezig zijn die deze vertaling kunnen uitvoeren.

Waarom is het belangrijk?
Zonder een werkende DNS is jouw website onvindbaar en komt er geen enkele e-mail aan. Het is de fundering van je online aanwezigheid.

• Redundantie (Reserve): Door minimaal twee servers te gebruiken, creëer je een vangnet. Als de ene server door een technische storing uitvalt, neemt de andere het werk direct over.

• Betrouwbaarheid: Als deze controle faalt, is je website kwetsbaar. Eén enkele storing bij je provider kan er dan voor zorgen dat je bedrijf direct volledig offline is.

Wat kun je doen als de score onvoldoende is?
Dit is een instelling die je hostingpartij of IT-beheerder moet aanpassen.

• Stel de vraag: “Internet.nl geeft aan dat de beschikbaarheid van onze DNS-servers niet optimaal is. Kunnen jullie controleren of ons domein gebruikmaakt van minimaal twee geografisch gescheiden nameservers, zodat onze bereikbaarheid gegarandeerd is?”

Wat houdt de controle in?
Internet.nl controleert of de DNS-gegevens van jouw domein zijn beveiligd met een digitale handtekening. Dit protocol heet DNSSEC.

Waarom is het belangrijk?
DNS (het systeem dat namen vertaalt naar nummers) is van zichzelf niet beveiligd. Criminelen kunnen DNS-verzoeken onderscheppen en internetgebruikers ongemerkt doorsturen naar een valse website (bijvoorbeeld een nep-inlogpagina van een bank). DNSSEC zet een digitale ‘stempel’ op de gegevens, zodat de computer van de bezoeker kan controleren dat de wegwijzer niet vervalst is.

DNSSEC is bovendien een keiharde voorwaarde voor andere geavanceerde beveiligingen, zoals DANE. Met DANE wordt het transport van e-mail extra beveiligd. Zonder DNSSEC kun je deze aanvullende beschermingslagen simpelweg niet activeren. Het is dus de basis waarop de rest van je veilige infrastructuur rust.

Wat kun je doen als de score onvoldoende is?

Stel de vraag: “Uit de internet.nl scan blijkt dat DNSSEC nog niet actief is op ons domein. Omdat dit een vereiste is voor andere beveiligingen zoals DANE, willen we dit graag inschakelen. Kunnen jullie de digitale ondertekening van onze DNS-zone inrichten en activeren?”

Wat houdt de controle in?
Internet.nl voert een diepgaande inspectie uit op de versleutelde verbinding tussen de bezoeker en jouw server. Er wordt niet alleen gekeken of er een certificaat is, maar ook:

• De doorverwijzing: Worden bezoekers die op de onveilige site (http) binnenkomen direct en foutloos doorverwezen naar de veilige site (https)?

• De versleutelingsstandaard: Worden de modernste protocollen (TLS 1.2 en 1.3) gebruikt en zijn verouderde, onveilige versies uitgeschakeld?

• Configuratiefouten: Is compressie (zoals TLS-compressie) uitgeschakeld om aanvallen zoals ‘CRIME’ te voorkomen?

• Beveiligingsheaders: Worden de juiste instructies (zoals HSTS) meegestuurd die de browser dwingen altijd veilig te verbinden?

Waarom is het belangrijk?
Een slecht geconfigureerde HTTPS-verbinding geeft een vals gevoel van veiligheid.

• Voorkomt diefstal: Zonder de juiste headers en sterke versleuteling kunnen ervaren hackers alsnog gegevens (zoals cookies of wachtwoorden) onderscheppen.
• HSTS-bescherming: HSTS zorgt ervoor dat een browser niet eens probeert om onveilig te verbinden. Dit voorkomt dat aanvallers een bezoeker naar een nagemaakte, onbeveiligde versie van je site leiden.
• Optimale prestaties: Moderne standaarden zoals TLS 1.3 zijn niet alleen veiliger, maar ook aanzienlijk sneller.

Wat kun je doen als de score onvoldoende is?
Dit vereist een aanpassingen in de configuratie van de webserver (zoals Nginx, Apache, proxies, load-balancers of de instellingen van je hostingpaneel).

Stel de vraag: “Onze HTTPS-score op Internet.nl is niet optimaal. Kunnen jullie de TLS-configuratie aanscherpen? We willen TLS 1.0 en 1.1 uitschakelen, TLS-compressie deactiveren en de HSTS-header correct instellen met een voldoende lange geldigheidsduur.”

Wat houdt de controle in?
Internet.nl voert een drietal checks uit die controleren of jouw domeinnaam beveiligd is tegen ‘spoofing’. Dit is een techniek waarbij criminelen e-mails versturen die technisch exact lijken te komen van jouw bedrijf (bijvoorbeeld van de directie of de administratie).

• SPF: Een lijst van vertrouwde servers die namens jou mogen mailen.

• DKIM: Een digitale handtekening die bewijst dat de inhoud van de mail onderweg niet stiekem is aangepast (man-in-the-middle MITM).

• DMARC: De instructie aan de ontvanger wat er moet gebeuren als een mail niet door de SPF- of DKIM-check komt.

Waarom is het belangrijk?
Het ontbreken of onjuist configureren van deze instellingen is de belangrijkste reden dat Business Email Compromise (BEC) aanvallen succesvol zijn. Bij BEC probeert een crimineel bijvoorbeeld een medewerker te verleiden tot het betalen van een valse factuur door zich voor te doen als een bekende.

• Onzichtbare fraude: Zonder deze -correct ingestelde- beveiligingsmechanismen kunnen de e-mailsystemen van de ontvanger het verschil niet zien tussen een echte mail en een vervalsing. De aanval wordt dan niet tijdig opgemerkt door de standaard beveiligingsfilters.

• Reputatie: Als jouw domein niet goed beveiligd is, kunnen criminelen jouw goede naam gebruiken om anderen op te lichten, wat kan leiden tot het blokkeren van al jouw legitieme e-mails (blacklisting).

Wat kun je doen als de score onvoldoende is?
Deze instellingen moeten worden vastgelegd in de DNS-instellingen van je domein.

• Stel de vraag: “Onze e-mailbeveiliging tegen BEC-fraude is niet optimaal volgens Internet.nl. Kunnen we SPF en DKIM strikt inrichten en een DMARC-policy opstellen (bij voorkeur op ‘p=reject’) om te voorkomen dat criminelen onze naam misbruiken voor spoofing?”

Wat houdt de controle in?
Deze controle kijkt of de ‘tunnel’ waardoor de e-mail reist goed versleuteld en beveiligd is.

Waarom is het belangrijk?
Zonder deze beveiliging reist een e-mail als een ‘briefkaart’ over het internet en zou de inhoud ervan bekeken kunnen worden op alle knooppunten die de email op het internet passeert.

• Voorkomen van afluisteren (MITM): Een hacker kan proberen de versleutelde verbinding geforceerd te ‘downgraden’ naar een onbeveiligde verbinding om zo de mail te kunnen lezen. Dit is een klassieke Man-in-the-Middle aanval.

• De rol van DANE: DANE zorgt ervoor dat de versleuteling niet door een hacker uitgezet kan worden. Het dwingt een veilige verbinding af die niet te manipuleren is. Let op: DANE werkt alleen als je DNSSEC (zie DNSSEC) ook op orde hebt.

Wat kun je doen als de score onvoldoende is?

Stel de vraag: “Ondersteunt onze mailserver STARTTLS en kunnen we DANE configureren? We willen voorkomen dat onze e-mailstroom door een MITM-aanval kan worden afgeluisterd.”

Wat houdt de controle in?
Internet.nl controleert of jouw webserver extra veiligheidsinstructies (headers) meestuurt naar de browser van de bezoeker. De belangrijkste zijn HSTS (forceert HTTPS) en de Content Security Policy (CSP).

Waarom is het belangrijk?
Security headers minimaliseren de risico’s voor de bezoeker:

• HSTS: Dwingt de browser om altijd de veilige HTTPS-verbinding te gebruiken.

• CSP: Dit is een schild tegen aanvallen waarbij hackers kwaadaardige code proberen te injecteren (Cross-Site Scripting). Het vertelt de browser welke bronnen (zoals scripts en afbeeldingen) vertrouwd mogen worden en welke niet (en dus ook niet mogen worden uitgevoerd door de browser).

Wat kun je doen als de score onvoldoende is?
Het instellen van een CSP is vaak een balans tussen veiligheid en functionaliteit.

Belangrijke nuancering: In de praktijk bepaalt je website-software (zoals WordPress) of gebruikte plugins hoe strikt deze headers ingesteld kunnen worden. Veel plugins hebben externe koppelingen nodig om te werken. Hierdoor zie je op Internet.nl vaak een waarschuwing (oranje/geel) die alleen weggenomen kan worden door de website “functioneel te verminken”. Dat is meestal niet wenselijk en ook niet nodig voor een goede basisveiligheid.

Stel de vraag aan je webdeveloper: “Kunnen we HSTS activeren en een zo strikt mogelijke CSP instellen die de huidige functionaliteit van onze plugins niet verstoort? We streven naar een goede balans tussen veiligheid en een werkbare website.”

Wat houdt de controle in?
RPKI (Resource Public Key Infrastructure) controleert of de ‘digitale weg’ naar jouw server beveiligd is. Het is een methode om te bewijzen dat een specifiek netwerk (ISP) ook daadwerkelijk de eigenaar is van de IP-adressen die het claimt te gebruiken.

Waarom is het belangrijk?
Op het internet worden routes tussen netwerken uitgewisseld via het Border Gateway Protocol (BGP). Dit protocol is oud en van zichzelf niet veilig.

• Route Hijacking: Zonder RPKI kan een kwaadwillende (of een foutieve configuratie bij een provider) jouw internetverkeer “kapen”. Al het verkeer naar jouw website of e-mailserver wordt dan omgeleid naar een server van een hacker, zonder dat jij of de bezoeker het doorheeft.

• Digitale Authenticatie: RPKI ondertekent de route-informatie digitaal. Hierdoor kunnen andere netwerken controleren of de weg naar jouw domein de juiste is. Het voorkomt dat jouw website onbereikbaar wordt of dat gegevens op de verkeerde plek belanden.

Wat kun je doen als de score onvoldoende is?
Dit ligt buiten je eigen website-instellingen; dit moet geregeld worden door je Internet Service Provider (ISP) of hostingpartij.

Stel de vraag: “Internet.nl geeft aan dat onze IP-adressen niet beveiligd zijn met RPKI. Ondersteunen jullie als provider RPKI-ondertekening voor ons netwerkverkeer om route-hijacking te voorkomen?”

Wat houdt de controle in?
Internet.nl controleert of jouw domein een CAA-record heeft. Dit is een instructie in je DNS-instellingen waarin je expliciet aangeeft welke instanties (Certificate Authorities, zoals Let’s Encrypt of DigiCert) een beveiligingscertificaat voor jouw domeinnaam mogen uitgeven.

Waarom is het belangrijk?
Normaal gesproken mag elke officiële certificaat-uitgever ter wereld een certificaat uitgeven voor elk willekeurig domein, mits ze een (soms zwakke) controle uitvoeren.

• Voorkomen van frauduleuze certificaten: Als een hacker erin slaagt om een minder streng gecontroleerde uitgever in bijvoorbeeld een ander werelddeel te misleiden, kunnen ze een “officieel” certificaat voor jouw domein bemachtigen. Hiermee kunnen ze een perfecte kopie van jouw website maken die door browsers als “veilig” wordt gemarkeerd.
  Regie in eigen hand: Met CAA zeg je eigenlijk: “Alleen deze specifieke partij mag certificaten voor mij maken.” Alle andere uitgevers zijn volgens jouw eigen regels verboden om dat te doen. Dit is een cruciale extra slotgracht tegen geavanceerde phishing en Man-in-the-Middle aanvallen.

Wat kun je doen als de score onvoldoende is?
Dit record moet worden toegevoegd aan je DNS-instellingen.

Stel de vraag: “Ik zie dat we nog geen CAA-record hebben. Kunnen jullie een record toevoegen waarin we vastleggen dat alleen onze huidige certificaat-leverancier gemachtigd is om SSL/TLS-certificaten voor ons domein uit te geven?”