Media beveiligen hun domeinnamen onvoldoende
De beveiliging van domeinnamen in de journalistieke sector blijft achter. Uit recent onderzoek van SIDN blijkt dat slechts 15% van de Nederlandse kranten en nieuwsomroepen zijn domeinnaam heeft beveiligd met DNSSEC. Bezoekers van deze websites lopen hierdoor het risico omgeleid te worden naar een nepsite, terwijl ze in de veronderstelling zijn op de website van een krant of omroep te zijn.
DNSSEC beschermt internetgebruikers tegen omleiding naar valse websites
DNSSEC-beveiliging voorkomt dat websitebezoekers nietsvermoedend naar valse websites worden geleid, het zogeheten DNS-spoofing. DNS-spoofing houdt in dat bezoekers naar een frauduleuze website worden geleid, terwijl ze wel de juiste domeinnaam hebben ingetypt. Als ze op deze website persoonlijke gegevens achterlaten, dan komt deze terecht bij kwaadwillenden. DNSSEC is de cryptografische beveiliging van domeinnaam-informatie. DNSSEC is niet hetzelfde als een SSL-beveiliging (te herkennen aan het slotje en de https-aanduiding in de browserbalk) maar een extra veiligheidskenmerk. 85% van de onderzochte Nederlandse kranten en nieuwszenders heeft geen DNSSEC
SIDN heeft de domeinnamen van alle dagelijks verschijnende Nederlandse kranten (landelijk en regionaal) en nieuwszenders (landelijk en regionaal) gecontroleerd op de aanwezigheid van DNSSEC-beveiliging. Bij maar liefst 85% van de websites bleek de cryptografische beveiliging niet te zijn ingeschakeld. Van de regionale nieuwswebsites blijkt bijvoorbeeld alleen Omrop Fryslân beveiligd met DNSSEC. Ook bij de landelijke media blijkt de afwezigheid van DNSSEC eerder regel dan uitzondering. Op dit moment is bijna 50% van alle .nl-domeinen ondertekend met DNSSEC. Met 15% lopen de websites van nieuwsmedia wat dat betreft dus flink achter.
Beheerders van nieuwswebsites kunnen het echtheidskenmerk DNSSEC (kosteloos) ter ondertekening aanvragen bij hun domeinnaambeheerder (de ‘registrar’). Op www.internet.nl kan worden gecontroleerd of een website dit kenmerk heeft. Als de huidige registrar geen DNSSEC ondersteunt, kan de domeinnaam altijd nog verhuisd worden naar een registrar die dat wel doet.
De ondertekende domeinnaam moet vervolgens door de internetprovider van de websitebezoeker worden bevestigd (gevalideerd). Wat DNSSEC betreft zijn nieuwssitebeheerders dus deels afhankelijk van de internetprovider van hun lezers. Gelukkig groeit het aantal internetproviders dat valideert, waaronder XS4all, BIT en Etudel. Internetexperts verwachten dat binnen enkele jaren alle internetproviders valideren.
Op het gebied van domeinnaambeveiliging valt er nog veel terrein te winnen in de online nieuwswereld. Kranten en nieuwsomroepen doen er verstandig aan hun websites goed te beveiligen en ervoor te zorgen dat deze voldoen aan de moderne internetstandaarden zoals DNSSEC en https.
Marnie van Duijnhoven, Communicatiemanager SIDN
Praat mee