Internet.nl voegt CAA-test toe en kondigt wijzigingen TLS-test aan

2 juni 2025

Vanaf vandaag maakt Internet.nl het mogelijk om je domeinen te testen op Certification Authority Authorization (CAA). De nieuwe subtest voor CAA is onderdeel van zowel de website- als de mail-test. Op dit moment heeft de subtest geen invloed op de score.

Wat is CAA?

Met Certification Authority Authorisation (CAA) kun je als houder van een domeinnaam een of meer certificaatautoriteiten opgeven die certificaten voor je domeinnaam mogen uitgeven. Een certificaatautoriteit mag geen certificaat uitgeven, tenzij de CA vaststelt dat de certificaataanvraag consistent is met de toepasselijke CAA-records.

Waarom is CAA belangrijk?

Voor een veilige verbinding met uw website of mailserver is het certificaat cruciaal. Als een kwaadwillende een certificaat voor uw domeinnaam kan bemachtigen, kan deze mogelijk gevoelige gegevens onderscheppen. Door het aantal geautoriseerde certificaatautoriteiten te beperken, verkleint u het risico op een verkeerde uitgifte.

Merk op dat CAA anders werkt dan DANE. Het doel van CAA is om het risico op een onjuiste uitgifte van certificaten te verminderen. Terwijl DANE een mechanisme is om de geldigheid van uitgegeven certificaten te controleren en zo te voorkomen dat verkeerd uitgegeven certificaten worden vertrouwd. Vooral voor e-mail is het belangrijk om ook DANE toe te passen, omdat dit de meest toegepaste standaard is voor geauthenticeerde mailtransportversleuteling.

Waar controleert de CAA-test in Internet.nl op?

Internet.nl controleert of de nameservers van je geteste domein of de domeinen van bijbehorende mailservers (MX) één of meer CAA-records bevatten die allemaal de juiste syntax hebben. Ten minste één van deze CAA-records moet de tag issue hebben. Anders resulteert de test in een onvoldoende. Er wordt niet gecontroleerd of de certificaatautoriteit van het huidige certificaat overeenkomt met een of meer van de issue en issuewild waarden, oftewel of het huidige certificaat op dit moment opnieuw uitgegeven zou kunnen worden. Merk op dat het resultaat van de test momenteel niet meetelt in de score.

Als je de Automatic Certificate Management Environment (ACME) standaard gebruikt en jouw certificaatautoriteit ondersteunt dit, dan raden we je aan om de parameters validationmethods en accounturi te gebruiken om de isssuance door de geautoriseerde certificaatautoriteit verder te beperken. Verder is het aan te raden om issuewild, issuemail en issuevmc toe te voegen met een lege ; als je respectievelijk geen wildcard-, S/MIME- en/of BIMI-certificaten gebruikt. Dit is vooral belangrijk voor issuemail en issuevmc, omdat in hun afwezigheid er geen fallback is naar issue en dus elke certificaatautoriteit nog steeds S/MIME- en/of BIMI-certificaten kan uitgeven voor jouw domein.

Aankomende release: nieuwe TLS-richtlijnen

NCSC heeft onlangs een nieuwe versie van de TLS-richtlijnen gepubliceerd. De komende release van Internet.nl zal deze bijgewerkte richtlijnen gebruiken als baseline voor de TLS-test. We verwachten dat deze nieuwe versie van Internet.nl rond september/oktober 2025 live zal gaan.

Over Internet.nl

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. De softwarecode van Internet.nl is online beschikbaar onder een open source licentie.

Release notes 1.10.0

Feature changes

A test for CAA records was added for web and mail tests. This checks for the presence of one or more correctly formatted CAA records, of which one must have an issue tag. This test is not required, i.e. does not affect scoring.
The sectxt library, used for validating security.txt files, was updated from 0.9.4 to 0.9.7. This includes:
A new error if a PGP signed message ends with more than one newline, named too_many_line_separators (sectxt/#78).
Improved detection of repeated use of fields that must only occur once. Previously, these were not always detected (sectxt/#83).
Fixed an issue with checking signatures made with AEAD keys (sectxt/#79).
Fixed exception for certain malformed PGP signatures.
The test date and time are now included in the print CSS.

Significant internal changes

The test code no longer interfaces with libunbound, but uses dnspython as a stub resolver.
Periodic tests are no longer enabled by default.
UWSGI cheaper options are used to reduce idle processes and reduce memory consumption.

Possibly required changes to deployments

The resolver-permissive container was obsoleted and removed.
Periodic tests will only run when specifically enabled with the CRON_15MIN_RUN_TESTS, TEST_DOMAINS_SITE and/or TEST_DOMAINS_MAIL settings.
There is now support for running multiple instances per server, sharing a Routinator instance, intended for acceptance testing.

On upgrade from an earlier version, a change in networking setup requires recreation of one of the Docker networks. Before deploy, bring down the entire environment and make sure the network is removed: docker compose --project-name=internetnl-prod down docker network rm internetnl-prod_public-internet

API changes

The API version was updated to version 2.5.0.
The fields caa_enabled, caa_errors, caa_recommendations, caa_records, and caa_found_on_domain have been added (OpenAPI diff).
The API report URL was updated to use HTTPS.