Beheerder SIDN plaatst kanttekeningen bij het opzetten van een ‘secondlevel’-domeinextensie voor de Nederlandse overheid. Voor overheidsorganisaties kan dit zeer complex zijn en mogelijk veel kosten met zich meebrengen.
De Nederlandse overheid wil overheidsorganisaties een ‘secondlevel’-domeinextensie geven om herkenbaarheid te vergroten en bijvoorbeeld beter phishing te kunnen bestrijden. Hiervoor heeft de Nederlandse overheid vooral de domeinextensies .gov.nl en .overheid.nl op het oog. De definitieve secondlevel domeinextensie moet, naar het zich nu laat aanzien, eind dit jaar worden bepaald.
Commentaar SIDN
In een commentaar stelt de Nederlandse domeinregistrar SIDN echter dat het invoeren van een nieuwe domeinextensie voor overheidswebsites geen makkelijk proces is. Volgens de blog zijn er de nodige operationele uitdagingen bij een dergelijke transitie.
Belangrijk is bijvoorbeeld dat bij het inrichten van een gezamenlijk nieuw secondleveldomeinextensie (of een uniforme URL voor de overheid) een consistent registratiebeleid wordt gevoerd. Dit betekent dat de overheid goed inzicht moet hebben in het hele domeinnaamportfolio. Fouten worden volgens SIDN hierbij vaak gemaakt, zodat URL’s toch kunnen worden ‘gekaapt’ door kwaadwillenden die zich als de Nederlandse overheid willen voordoen.
SIDN geeft aan dat een consistent registratiebeleid niet alleen door een uniforme URL kan worden afgedwongen. Bijvoorbeeld kan ook een centraal overheidsregistratiekantoor worden opgericht.
Een andere uitdading is dat het uniform maken van alle overheidsdomeinnaamregistraties niet van de ene op de andere dag is geregeld. Bijvoorbeeld moeten ook alle mailadressen van de overheid worden aangepast en herkenbaar worden gemaakt voor spamfiters. Ook moeten de mailadressen aan de laatste mailstandaarden voldoen. Voor alle overheidsorganisaties een complexe operatie.
Verder moet worden voorkomen dat ‘look-a-like’-extensies worden voorkomen. Dit zijn extensies die lijken op die van de overheid, maar verwijzen naar (kwaadaardige) andere websites. Bijvoorbeeld door typefouten van de persoon die toegang zoekt. Denk daarbij aan .gow.nl in plaats van .gov.nl. Voor deze look-a-likes moet de overheid wellicht ook de ‘foute’ domeinextensies claimen, als die al niet zijn vergeven.
Ook is het identificeren van een aanvraag een grote operationele uitdaging. Een overheidsdomein waarbinnen kwaadwillenden kunnen registreren, is totaal niet veilig. SIDN ziet daarom dat er een systeem nodig is om ambtenaren die legitiem kunnen aanvragen, muteren en opheffen te onderscheiden van anderen. Dit systeem moet ook 24/7 beschikbaar zijn om te voorkomen dat overheidswebsites down gaan door bijvoorbeeld verouderde nameservers.
Kosten vaak te hoog
Verder waarschuwt SIDN dat de domeinextensie-operatie van de Nederlandse overheid behoorlijk in de kosten gaat lopen. Dit baseert de domeinregistrar op basis van een eerder onderzoek uit 2019. Daarin werd gesteld dat voor verschillende landen de kosten voor harmonisering van de overheid-URL’s een te hoge drempel vormden.
Vooral omdat Nederlandse overheden al 30 jaar aan hun bestaande domeinnamen hebben kunnen bouwen en nu voor de diverse zoekmachines weer helemaal opnieuw moeten beginnen.
SIDN adviseert daarom de Nederlandse overheid zijn plan voor een nieuwe uniforme secondlevel-domeinextensie wel op te pakken, maar dat vooral stapsgewijs uit te voeren. Eerst voor de ministeries en de Rijksoverheid, daarna voor de zelfstandige diensten en uitvoerders. De focus moet daarbij vooral op de websites liggen.
Tip: Tweede Kamer krijgt uitleg over client-side scanning ter voorbereiding EU-wet