Defaults.Exposed

Defaults.Exposed › Rapporten

Werkt verplichte DNSSEC? Wat registry-gedreven adoptie onthult (2026)

Gepubliceerd 2026-06-29

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen, per nationale domeinuitgang (een benadering voor het beleid van de registry, niet de locatie van het bedrijf). „Registry-gedreven” = de registry van de uitgang bevordert DNSSEC actief via prikkels of vereisten — meestal prikkels voor registrars, geen wettelijke verplichtingen. „Geldig” = een DNSSEC-keten die valideert; „kapot” = ondertekend maar faalt bij de validatie. Zie hoe we beoordelen.

Beweegt het de adoptie echt als je registrars DNSSEC laat pushen? Ja — beslissend — maar met een addertje. Op uitgangen waarvan de registries DNSSEC aandrijven, heeft 9,1% van de domeinen een geldige handtekening, tegenover slechts 1,3% op uitgangen die het aan de eigenaren overlaten — ruwweg 7× hoger. Beleid werkt waar vrijwillige adoptie stilvalt. Het addertje: zelfs bij de koplopers breken meer domeinen DNSSEC dan dat ze het goed doen — registry-druk lost dus het aanzetten op, niet het correct doen.

Verhoogt het aandringen op DNSSEC de adoptie?

Onmiskenbaar. Registry-gedreven nationale uitgangen klitten samen rond 10–18% geldig DNSSEC; laissez-faire-uitgangen liggen dicht bij de wereldwijde bodem van 1,99%. Een hoger geldig-percentage is beter; het kapot-percentage is de prijs van het verkeerd doen. Per 2026-06-29:

UitgangHouding van de registryDNSSEC geldigKapot
.se (Zweden)Gedreven (prikkels voor registrars)18,38%30,35%
.no (Noorwegen)Gedreven16,59%25,24%
.sk (Slowakije)Gedreven16,61%25,59%
.cz (Tsjechië)Gedreven (prikkels voor registrars)14,62%26,28%
.nl (Nederland)Gedreven (prikkels voor registrars)11,86%22,98%
.fr (Frankrijk)Gedreven5,13%9,54%
.comLaissez-faire1,62%2,44%
.de (Duitsland)Laissez-faire0,92%1,60%
.uk (Verenigd Koninkrijk)Laissez-faire1,06%1,72%

Zwedens 18,38% is meer dan tien keer .com’s 1,62%. De kloof gaat niet over de technologie — het is overal hetzelfde protocol — maar over de vraag of iemand in de keten een reden had om het uit te rollen.

Het addertje: meer kapot dan werkend

Hier komt de ongemakkelijke helft. In elke registry-gedreven uitgang hierboven is het kapot-percentage hoger dan het geldig-percentage — Zweden draait 30,35% kapot tegen 18,38% geldig; Nederland 22,98% tegen 11,86%. Over alle gedreven uitgangen heen is het 15,7% kapot tegen 9,1% geldig.

Dat is van belang omdat kapot DNSSEC niet onschadelijk is: een validerende resolver weigert een domein op te lossen waarvan de handtekeningen niet kloppen, dus een verkeerde configuratie kan het domein offline halen — website en e-mail — voor een deel van het internet. Adoptie aandrijven zonder correctheid aan te drijven schaalt de storingen mee met de bescherming. Het is hetzelfde uitvoeringsprobleem dat het hele web laat zien in de DNSSEC-paradox, alleen versterkt waar meer domeinen het proberen.

Waarom registry-beleid beter is dan het aan de eigenaren overlaten

DNSSEC kent geen afdwingende gebeurtenis voor een individuele eigenaar: er breekt of waarschuwt niets als je het overslaat, dus op een laissez-faire-uitgang zoals .com blijft de adoptie onbeperkt vlak rond 1,62%. De registries die daaruit braken deden dat via economie, niet edicten — meestal prikkels voor registrars (kortingen of vergoedingen voor het ondertekenen van zones) plus automatisering bij de provider, waarmee de Noordse, Tsjechische en Nederlandse registries hun hele populatie optilden. Het is een schoon natuurlijk experiment: hetzelfde protocol, dezelfde moeilijkheid, zeer verschillende uitkomsten — en het verschil is het registry-beleid.

Verplichting of prikkel — wat beweegt echt de naald?

Vooral prikkel. Ondanks de „verplichte” framing waarmee de vraag meestal wordt gesteld, moedigen de uitgangen met hoge adoptie hier doorgaans DNSSEC aan in plaats van het wettelijk te verplichten; harde verplichtingen zijn zeldzamer (sommige overheden vereisen het voor domeinen van de publieke sector). De les voor elke registry: de economie van registrars en automatisering richten op ondertekening werkt — maar het zou gepaard moeten gaan met beheerde ondertekening en sleutelrotatie, anders fabriceer je gewoon meer kapotte zones.

Veelgestelde vragen

Verhoogt het verplichten of stimuleren van DNSSEC de adoptie echt? Ja — ongeveer 7× in onze gegevens: 9,1% geldig op registry-gedreven uitgangen tegenover 1,3% op laissez-faire-uitgangen, per 2026-06-29.

Welk land of welke TLD heeft het meeste DNSSEC? Onder de grote uitgangen leidt Zweden (.se) met 18,38% geldig — meer dan tien keer .com’s 1,62%.

Als de adoptie hoger is, wordt DNSSEC dan correct gedaan? Vaak niet. In elke uitgang met hoge adoptie overtreft kapot DNSSEC het geldige (15,7% tegen 9,1% over de gedreven uitgangen) — en kapot DNSSEC kan een domein offline halen.

Moet een klein bedrijf DNSSEC aanzetten? Alleen als het correct beheerd wordt — een kapotte handtekening is erger dan geen. Gebruik een provider die ondertekening en sleutelrotatie afhandelt, en verifieer dat het valideert. Zie hoe je DNSSEC repareert.

Controleer het DNS van je domein

Bekijk of je DNSSEC geldig, kapot of afwezig is — en de rest van je houding — privé en gratis.

Controleer je domein → · De DNSSEC-paradox → · Wie beheert het DNS van het internet? → · DNSSEC repareren → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.