5 Beveiligingstips voor domeinnamen

Als ondernemer gebruik je waarschijnlijk één of meerdere domeinnamen voor je bedrijf. Meestal gebruik je deze voor een website of webshop en vaak verloopt ook e-mailcommunicatie via zo’n domein.

Omdat een domeinnaam een belangrijk onderdeel is van je organisatie, is het goed om er voldoende aandacht aan te besteden om zo misbruik van je domeinnaam te voorkomen. Ook wil je zeker weten dat je domeinnaam beschikbaar is voor je zakelijke activiteiten. De volgende aandachtspunten kunnen daarbij helpen.

Let bij domeinnamen op het volgende:

1. Ben jij wel de domeinhouder?

   Een domeinnaam huur je voor een bepaalde tijd. Dit kun je - vaak automatisch - verlengen. Binnen deze periode word jij gezien als de eigenaar van een domein met de bijkomende verantwoordelijkheden en bevoegdheden. De eigenaar van een domein wordt opgegeven als de domeinhouder. Het is belangrijk om na te gaan of jij daadwerkelijk geregistreerd staat als domeinhouder. Als de partij bij wie je domeinnaam afneemt als domeinhouder staat geregistreerd, kan dat problemen geven. Anderen zouden buiten jouw weten om je domeinnaam kunnen overnemen. Een ander probleem ontstaat wanneer de partij waarbij jij het domein hebt afgenomen, niet meer reageert of failliet gaat. Hoe krijg je jouw domeinnaam snel weer ergens anders in de lucht als je niet kunt aantonen dat jij de domeinhouder bent? Check daarom wie als domeinnaamhouder geregistreerd staat.

2. Configureer e-mailbeveiligingsstandaarden

   Vaak gebruik je een domeinnaam ook om mee te e-mailen, maar het hoeft niet het geval te zijn. In beide gevallen is het belangrijk om e-mail beveiligingsstandaarden (o.a. SPF, DKIM, DMARC) in te richten. Dit voorkomt dat kwaadwillenden jouw domeinnaam misbruiken om spam of phishingmails te versturen. Vaak wordt dit vergeten bij domeinen die je zelf niet voor e-mailen gebruikt maar wel vertrouwd kunnen overkomen voor anderen. Denk ook aan het plaatsen van security.txt. Daarmee geef je aan hoe en waar eventuele beveiligingslekken gemeld kunnen worden. 

3. Informatie prijsgeven via certificaten

   Als het goed is, heeft je bedrijfswebsite een SSL(TLS)-certificaat zodat verkeer versleuteld wordt. Heb je daarnaast ook een Acceptatie-omgeving voor de website? Of een VPN-server in je netwerk om op afstand inloggen mogelijk te maken? Vaak zijn de urls waar dit soort omgevingen op draaien niet bedoeld om publiek te zijn. Als je deze domeinen niet openbaar wilt hebben, dan is het verstandig om deze verschillende domeinnamen niet te bundelen in eenzelfde SSL(TLS)-certificaat, maar een los certificaat per (sub)domeinnaam aan te vragen. Op deze manier worden dit soort omgevingen niet prijs gegeven binnen één zelfde certificaat.

4. Wees alert op “typosquatting”

   Het doel van typosquatting is om zich voor te doen als jouw bedrijf en mensen te misleiden tot een transactie van geld of gegevens. Wanneer cybercriminelen de identiteit van jouw bedrijf willen misbruiken, kunnen ze daarvoor een domeinnaam registeren die veel lijkt op die van jouw onderneming. Dit staat ook bekend als typosquatting. De letter ‘l’ en hoofdletter van ‘i’ (I) lijken bijvoorbeeld erg op elkaar. Ook domeinnamen die veelgemaakte spelfouten of koppeltekens bevatten, kunnen typosquatting zijn. Benieuwd hoe dit in zijn werk gaat? In dit ondernemersverhaal lees je hoe hackers deze techniek gebruikten om openstaande facturen betaald te krijgen (op een nieuw bankrekeningnummer).

   Wat kun je doen tegen misleiding via typosquatting? In eerst instantie kun je overwegen om domeinen met andere bekende extensies ook te registeren zodat bijvoorbeeld zowel .nl als .com van jou zijn. Het is echter lastig om alle varianten die lijken op jouw domein te registeren. Overweeg daarom om een dienst af te nemen die kan monitoren of er domeinen worden registreert die lijken op die van jouw onderneming.

5. Verlopen domeinnamen

   Als je in de loop der tijd meerdere domeinen registreert, kan het voorkomen dat er domeinen zijn die je niet meer gebruikt en bewust of onbewust laat verlopen. Als dit gebeurt, kan het domein door iemand anders worden geregistreerd met mogelijk kwade bedoelingen. Laat een domein dus niet zomaar verlopen. Zorg dat je overzicht houdt op de domeinnamen die jouw organisatie heeft en de looptijd ervan. Ondanks dat een domein niet meer actief gebruikt wordt, kan deze nog wel vertrouwd zijn door jouw klanten of door interne systemen. Dit kan vervolgens leiden tot een datalek. Het Computer Emergency Response Team voor de Zorg (Z-Cert) heeft een handige handreiking “Verlopen domeinnamen” opgesteld. Zeer de moeite waard.