Websitetest: www.opendnssec.org

Het domein www.opendnssec.org heeft een testscore van 100%.
Gefeliciteerd, je domeinnaam wordt spoedig in de Hall of Fame opgenomen!

Geslaagd : IPv6

Goed gedaan! Je website is bereikbaar voor bezoekers die een moderne internetadres gebruiken, en daardoor volledig onderdeel van het moderne internet.

Nameservers

Uitslag:

Twee of meer nameservers van je domeinnaam hebben een IPv6-adres.

Testuitleg:

We testen of je domeinnaam tenminste twee nameservers met een IPv6-adres heeft. Dit sluit aan bij de eis van SIDN (beheerder van het .nl-domein) dat iedere .nl-domeinnaam tenminste twee nameservers moeten hebben.

Technische details:

Nameserver IPv6-adres IPv4-adres
primary.se. 2001:470:df3c::53 192.36.115.53
ns.opendnssec.org. 2a04:b900:0:100::14 185.49.141.14
secondary.se. 2a00:16d8:2:300:216:3cff:fea1:8ed5 91.123.201.115
ns.kirei.se. 2001:67c:394:15::4 91.206.174.4

Uitslag:

Alle nameservers die een IPv6-adres hebben zijn bereikbaar via IPv6.

Testuitleg:

We testen of alle nameservers, die een AAAA-record met IPv6-adres hebben, bereikbaar zijn via IPv6.

Webserver

Uitslag:

Tenminste één van je webservers heeft een IPv6-adres.

Testuitleg:

We testen of er tenminste één AAAA-record met IPv6-adres voor je webserver is.

Technische details:

Webserver IPv6-adres IPv4-adres
www.opendnssec.org 2a04:b900:0:100::14 185.49.141.14

Uitslag:

Al je webservers met een IPv6-adres zijn bereikbaar via IPv6.

Testuitleg:

We testen of we je webserver(s) kunnen bereiken via IPv6 op alle beschikbare poorten (80 en/of 443). We testen alle IPv6-adressen die we ontvangen van je nameservers. Een deelscore wordt gegeven als niet alle IPv6-adressen bereikbaar zijn. Als een IPv6-adres (syntactisch) ongeldig is, dan beschouwen we dat als onbereikbaar.

Uitslag:

Je website op IPv6 lijkt gelijk aan je website op IPv4.

Testuitleg:

We vergelijken de webcontent die we van je webserver ontvangen via zowel IPv6 als IPv4 op alle beschikbare poorten (80 en/of 443). In het geval er meerdere IPv6-adressen en IP4-adressen zijn, dan pakken we één IPv6-adres en één IPv4-adres. Als het contentverschil niet groter is dan 10%, dan gaan we ervanuit uit dat de primaire webcontent gelijk is. Daardoor zullen ook websites met kleine verschillen (bijvoorbeeld door wisselende advertenties) slagen voor dit testonderdeel.


Geslaagd : DNSSEC

Goed gedaan! Je domeinnaam is ondertekend met een geldige handtekening. Daardoor zijn bezoekers die controle van domein-handtekeningen geactiveerd hebben, beschermd tegen gemanipuleerde vertaling van jouw domeinnaam naar kwaadaardige internetadressen.

Uitslag:

Je domein is met DNSSEC ondertekend.

Testuitleg:

We testen of je domeinnaam ondertekend is met DNSSEC. Let op: de geldigheid van de ondertekening wordt niet getest in deze subtest maar wel in de volgende subtest.

Technische details:

Domein Registrar
www.opendnssec.org CSL Computer Service Langenbach GmbH d/b/a joker.com a German GmbH

Uitslag:

Je domeinnaam is veilig oftewel ‘secure’, omdat zijn DNSSEC-handtekening geldig is.

Testuitleg:

We testen of je domeinnaam is ondertekend met een geldige DNSSEC- handtekening.

Technische details:

Domein Status
www.opendnssec.org secure

Geslaagd : HTTPS

Goed gedaan! De verbinding met je website is voldoende beveiligd. Gegevens die onderweg zijn tussen je website en haar bezoekers, zijn daardoor beschermd tegen afluisteren en manipulatie.

HTTP

Uitslag:

Je website biedt HTTPS aan.

Testuitleg:

We testen of je website bereikbaar is via HTTPS. Als dat het geval is, dan testen we in de navolgende testonderdelen of HTTPS ook voldoende veilig is geconfigureerd. HTTPS garandeert de vertrouwelijkheid en integriteit van uitgewisselde informatie. Omdat het van de situatie afhangt hoe (privacy-)gevoelig en waardevol informatie is, een bezoeker van je website bepaalt hoe (privacy-) gevoelig en waardevol informatie is, is een veilige HTTPS-configuratie voor iedere website van belang. Ook triviale, publieke informatie kan door omstandigheden voor de gebruiker zeer gevoelig en waardevol zijn. Let op: vanwege performance-redenen wordt de HTTPS-deeltest alleen uitgevoerd voor het eerst beschikbare IPv6- en IPv4-adres.

Technische details:

Webserver-IP-adres HTTPS aanwezig
2a04:b900:0:100::14 ja
185.49.141.14 ja

Uitslag:

Je webserver dwingt HTTPS af door een redirect van HTTP naar HTTPS op dezelfde domeinnaam.

Testuitleg:

We testen of je webserver HTTPS afdwingt door een doorverwijzing (d.w.z. 301/302 redirect) van HTTP naar HTTPS op dezelfde domeinnaam, of door ondersteuning van alleen HTTPS. In geval van doorverwijzing moet een domein eerst zelf ‘upgraden’ door een redirect naar zijn HTTPS-versie voordat het eventueel doorverwijst naar een andere domeinnaam. Dit zorgt er ook voor dat een webbrowser de HSTS-policy kan accepteren. Voorbeelden van correcte redirect-volgorde:

  • http://example.nlhttps://example.nlhttps://www.example.nl
  • http://www.example.nlhttps://www.example.nl

Zie ’Webapplicatie-richtlijnen van NCSC, Verdieping’, richtlijn U/WA.05.

Technische details:

Webserver-IP-adres HTTPS afgedwongen
2a04:b900:0:100::14 ja
185.49.141.14 ja

Uitslag:

Je webserver biedt een HSTS-policy aan.

Testuitleg:

We testen of je webserver HSTS ondersteunt. HSTS dwingt af dat een webbrowser direct via HTTPS verbindt bij terugkerend bezoek. Dit helpt man-in-the-middle-aanvallen te voorkomen. Een gebruikelijke geldigheidsduur voor een HSTS-policy is zes maanden tot een jaar. Een lange levensduur heeft als voordeel dat ook infrequente bezoekers beschermd zijn. Het nadeel is dat wanneer je wil stoppen met HTTPS, je langer moet wachten totdat de geldigheid van de HSTS-policy in alle browsers die je website bezochten, is verlopen. Zie ’Webapplicatie-richtlijnen van NCSC, Verdieping’, richtlijn U/WA.05.

Technische details:

Webserver-IP-adres HSTS-policy
2a04:b900:0:100::14 max-age=15552000
185.49.141.14 max-age=15552000

Uitslag:

Je webserver ondersteunt geen HTTP-compressie.

Testuitleg:

We testen of je webserver HTTP-compressie ondersteunt. HTTP-compressie maakt de beveiligde verbinding met je webserver kwetsbaar voor de BREACH-aanval. Het uitschakelen kan een negatieve invloed hebben op de prestaties van het systeem. Als je HTTP-compressie inzet, ga dan na of het mogelijk is maatregelen te treffen op applicatieniveau tegen de aanvalstechniek. Let op: dit testonderdeel controleert of de webserver op rootdirectory-niveau HTTP- compressie ondersteunt, maar controleert niet andere websitebronnen zoals plaatsje en scripts. Zie ’TLS-beveiligingsrichtlijnen van NCSC, richtlijn B6-1].

Technische details:

Webserver-IP-adres HTTP-compressie
2a04:b900:0:100::14 nee
185.49.141.14 nee
TLS

Uitslag:

Je webserver ondersteunt alleen voldoende veilige TLS-versies.

Testuitleg:

We testen of je webserver alleen veilige TLS-versies ondersteunt. De oudste versies van TLS (namelijk SSL 1.0, 2.0 en 3.0) bevatten ernstige kwetsbaarheden. Deze moeten daarom worden vermeden. TLS 1.0 en 1.1 zijn voldoende veilig. De meest recente versie, TLS 1.2, biedt de beste bescherming. Een webserver kan meerdere TLS-versies ondersteunen. Zie ’TLS- richtlijnen van NCSC’, richtlijn B1-1.

Technische details:

Webserver-IP-adres Onveilige TLS-versies
2a04:b900:0:100::14 -
185.49.141.14 -

Uitslag:

Je webserver ondersteunt alleen voldoende veilige cipher suites.

Testuitleg:

We testen of je webserver alleen voldoende veilige cipher suites ondersteunt. Een cipher suite is een samenstelling van algoritmes voor authenticatie en encryptie die geldig is volgens de TLS-standaard. Een webserver kan meerdere cipher suites ondersteunen. Zie ’TLS-richtlijnen van NCSC’, richtlijn B2-1 t/m B2-4.

Technische details:

Webserver-IP-adres Onveilige cipher suites
2a04:b900:0:100::14 -
185.49.141.14 -

Uitslag:

Je webserver ondersteunt voldoende veilige Diffie-Hellman-parameters voor sleuteluitwisseling.

Testuitleg:

We testen of de bitlengte van de publieke parameters voor Diffie-Hellman- sleuteluitwisseling door je webserver voldoende veilig is. Let op: het is ook belangrijk dat de bitlengte van de geheime Diffie-Hellman-sleutel voldoende veilig is. Dit kunnen we vanwege zijn geheime aard echter niet testen. Naast Diffie-Hellman is RSA (dat ook gebruikt kan worden voor certificaatverificatie) voldoende veilig voor sleuteluitwisseling. De publieke parameters van RSA worden getest in het testonderdeel “publieke sleutel van certificaat”. Zie ’TLS-richtlijnen van NCSC’, richtlijnen B4-1 t/m 4-3].

Technische details:

Webserver-IP-adres Onveilige parameters
2a04:b900:0:100::14 -
185.49.141.14 -

Uitslag:

Je webserver ondersteunt geen TLS-compressie.

Testuitleg:

We testen of je webserver TLS-compressie ondersteunt. Het gebruik van compressie kan een aanvaller informatie bieden over geheime delen van versleutelde communicatie. TLS-compressie wordt zo weinig gebruikt dat het geen kwaad kan het uit te schakelen. Zie ’ICT-beveiligingsrichtlijnen voor TLS’ van NCSC, richtlijn B6-1.

Technische details:

Webserver-IP-adres TLS-compressie
2a04:b900:0:100::14 nee
185.49.141.14 nee

Uitslag:

Je webserver ondersteunt secure renegotiation.

Testuitleg:

We testen of je webserver secure renegotiation ondersteunt. De TLS-standaard staat toe om uit de applicatiefase te stappen en een nieuwe handshake af te dwingen. Dit wordt renegotiation genoemd. Oorspronkelijk was dit erg onveilig, maar inmiddels is veilige renegotiation mogelijk. De oude uitvoering, d.w.z. insecure renegotiation, moet worden uitgeschakeld. Zie ’TLS-richtlijnen van NCSC’, richtlijn B6-2].

Technische details:

Webserver-IP-adres Secure renegotiation
2a04:b900:0:100::14 ja
185.49.141.14 ja

Uitslag:

Je webserver staat geen client-initiated renegotiation toe.

Testuitleg:

We testen of een client (doorgaans een webbrowser) een renegotiation kan initiëren met jouw webserver. Er is voor zover bekend geen noodzaak om client-initiated renegotiation in te schakelen. Alhoewel de optie geen risico vormt voor de vertrouwelijkheid, maakt deze een server wel vatbaar voor DDoS-aanvallen. Schakel deze optie daarom uit. Zie ’TLS-richtlijnen van NCSC’, richtlijn B6-2].

Technische details:

Webserver-IP-adres Client-initiated renegotiation
2a04:b900:0:100::14 nee
185.49.141.14 nee
Certificaat

Uitslag:

De vertrouwensketen van je websitecertificaat is compleet en ondertekend door een vertrouwde certificaatautoriteit.

Testuitleg:

We testen of we een geldige vertrouwensketen voor je websitecertificaat kunnen opbouwen. Er is sprake van een geldige vertrouwensketen, als je certificaat is uitgegeven door een vertrouwde certificaatautoriteit én je webserver alle noodzakelijke tussenliggende certificaten presenteert. Zie ’TLS-richtlijnen van NCSC’, richtlijn B3-6.

Technische details:

Webserver-IP-adres Onvertrouwde certificaatketen
2a04:b900:0:100::14 -
185.49.141.14 -

Uitslag:

Je websitecertificaat bevat een publieke sleutel met een veilige lengte.

Testuitleg:

We testen of de bitlengte van de publieke sleutel van je websitecertificaat voldoende veilig is. Let op: het is ook belangrijk dat de bitlengte van de geheime sleutel voldoende veilig is. Dit kunnen we vanwege de geheime aard echter niet testen. Zie ’TLS-richtlijnen van NCSC’, richtlijn B3-3 t/m B3-5.

Technische details:

Webserver-IP-adres Publieke sleutel met onvoldoende lengte
2a04:b900:0:100::14 -
185.49.141.14 -

Uitslag:

Je websitecertificaat is ondertekend met een voldoende veilig algoritme voor hashing.

Testuitleg:

We testen of de ondertekende fingerprint van het websitecertificaat is gemaakt met een veilig algoritme voor hashing. Zie ’TLS-richtlijnen van NCSC’, richtlijn B3-2.

Technische details:

Webserver-IP-adres Onveilig hashing-algoritme
2a04:b900:0:100::14 -
185.49.141.14 -

Uitslag:

De domeinnaam van je website komt overeen met de domeinnaam op je websitecertificaat.

Testuitleg:

We testen of de domeinnaam van je website overeenkomt met de domeinnaam op het certificaat. Het kan handig zijn om meerdere domeinnamen (bijvoorbeeld de domeinnaam met en zonder www) als Subject Alternative Name (SAN) in het certificaat op te nemen. Zie ’TLS-richtlijnen van NCSC’, richtlijn B3-1.

Technische details:

Webserver-IP-adres Niet-overeenkomende domeinen op certificaat
2a04:b900:0:100::14 -
185.49.141.14 -
DANE

Uitslag:

De DANE-fingerprint op je domeinnaam is niet geldig voor je websitecertificaat. Óf iemand manipuleerde het antwoord van jouw nameserver, óf je domeinnaam heeft een serieuze DANE-configuratiefout. Dit laatste maakt je domeinnaam onbereikbaar voor alle gebruikers die DANE-fingerprints controleren. Neem zo spoedig mogelijk contact op met je nameserver-beheerder en/of hostingprovider.

Testuitleg:

We testen of de DANE-fingerprint die je domein presenteert geldig is voor je websitecertificaat. Met DANE kan je informatie over jouw websitecertificaat publiceren in een speciaal DNS-record, een TLSA-record. Clients, zoals webbrowsers, kunnen het certificaat nu niet alleen via de certificaatautoriteit, maar ook via het TLSA-record controleren op authenticiteit. Een client kan het TLSA-record ook als signaal gebruiken om alleen via HTTPS (en niet via HTTP) te verbinden. DNSSEC is een noodzakelijke randvoorwaarde voor DANE. Let op: gevallen waarbij we een geldige TLSA-record maar geen DNSSEC detecteren óf waarbij we het opvragen van het TLSA-record mislukt, worden ook beschouwd als fouten in deze test.

Technische details:

Webserver-IP-adres DANE geldig
2a04:b900:0:100::14 nee
185.49.141.14 nee