Defaults.Exposed › Rapporten
Domein- en DNS-kaping: hoe domeinen worden gestolen en hoe u het uwe vergrendelt (2026)
Gepubliceerd 2026-07-01
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Kaping betekent het overnemen van de controle over de DNS of registratie van uw domein om het verkeer en de e-mail om te leiden. Zie hoe wij beoordelen.
Domeinkaping raakt uw website niet — het neemt de DNS of het registrar-account over dat ernaar verwijst, waardoor uw eigen bezoekers en e-mail stilletjes worden omgeleid naar een aanvaller. De twee DNS-maatregelen die het risico het meest verkleinen, behoren tot de minst toegepaste op het web: slechts 1,99% van de domeinen heeft geldige DNSSEC en amper 1,56% publiceert een CAA-record. Zo worden domeinen gestolen en zo vergrendelt u het uwe.
Hoe domeinen daadwerkelijk worden gekaapt
- Overname van het registrar-account — een gephisht of hergebruikt wachtwoord op uw registrar-login stelt een aanvaller in staat om nameservers te wijzigen of het domein regelrecht over te dragen. De vector met de grootste impact, en de best te voorkomen vector.
- DNS-recordmanipulatie / cache poisoning — vervalste DNS-antwoorden sturen gebruikers en e-mail elders naartoe. Dit is precies wat DNSSEC is ontworpen om tegen te houden — en 1,99% van de domeinen heeft het (met nog eens 3,02% wel ondertekend maar defect).
- Losse records — een DNS-vermelding die blijft verwijzen naar een cloudbron die u niet langer bezit, stelt iemand anders in staat om die te claimen (subdomeinovername).
- Herregistratie van verlopen domeinen — laat een domein verlopen en iedereen kan het opnieuw registreren, waarbij het het resterende verkeer en vertrouwen erft. Over de gehele census resolvet 6,2% van de domeinen niet langer — een grote poel van verlopen namen. Zie de dode domeinen van het internet.
- Uitgifte van frauduleuze certificaten — zonder een CAA-record dat beperkt welke autoriteiten voor uw domein mogen uitgeven, is een onterecht uitgegeven certificaat gemakkelijker te verkrijgen. Slechts 1,56% van de domeinen stelt er een in.
Concentratie voegt een systemische invalshoek toe
De meeste domeinen vertrouwen op een handvol DNS-aanbieders, waardoor een enkel incident bij een aanbieder een buitensporig bereik heeft: de grootste nameserver-operator alleen al bedient 15,4% van de domeinen die een erkende aanbieder gebruiken, en de top vijf samen 42,1%. Concentratie is geen gebrek dat u alleen kunt verhelpen, maar het is een reden om de maatregelen die u wel zelf beheert goed voor elkaar te krijgen. Zie nameserverconcentratie.
Hoe u uw domein vergrendelt
- Beveilig het registrar-account — een uniek wachtwoord, sterke MFA, en schakel registrar lock in (overdracht verboden) zodat het domein niet kan worden verplaatst zonder een expliciete ontgrendeling.
- Schakel DNSSEC in waar uw host dit automatiseert — het houdt vervalste DNS-antwoorden tegen bij de resolver.
- Publiceer een CAA-record dat alleen de certificaatautoriteiten benoemt die u gebruikt, zodat er geen frauduleus certificaat kan worden uitgegeven.
- Controleer DNS op losse records — verwijder vermeldingen die verwijzen naar bronnen die u niet langer beheert.
- Laat belangrijke domeinen nooit verlopen — vernieuw de registratie automatisch en houd contactgegevens actueel zodat een vernieuwingsherinnering nooit onopgemerkt blijft.
Veelgestelde vragen
Wat is domeinkaping? Het overnemen van de controle over de registratie of DNS van uw domein om het web- en e-mailverkeer om te leiden — zonder ooit uw daadwerkelijke servers te compromitteren.
Hoe verschilt DNS-kaping hiervan? DNS-kaping manipuleert specifiek de records die uw domein resolven (via accountovername, cache poisoning of een gecompromitteerde DNS-host). DNSSEC verdedigt tegen vervalste antwoorden; slechts 1,99% van de domeinen heeft het.
Wat is de allerbeste bescherming? Het vergrendelen van het registrar-account — een uniek wachtwoord, MFA en een registrar-overdrachtsvergrendeling. De meeste kapingen beginnen met toegang tot het account, niet met slimme aanvallen.
Houdt DNSSEC kaping tegen? Het houdt één belangrijke categorie tegen — vervalste/vergiftigde DNS-antwoorden — maar niet de overname van het registrar-account. Gebruik het samen met accountbeveiliging en CAA.
Is iets hiervan duur? Nee. Registrar lock, DNSSEC en CAA zijn gratis instellingen; de kost is de discipline om ze toe te passen.
Controleer de DNS-verdediging van uw domein gratis
Zie of DNSSEC en CAA aanwezig en correct geconfigureerd zijn — privaat, en alleen voor de eigenaar.
Controleer uw domein → · DNSSEC repareren → · CAA repareren → · Hoe wij beoordelen → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.