Nieuwe release: RPKI-test weegt mee in Internet.nl-score

28 januari 2025

Vanaf vandaag wordt het RPKI-testresultaat meegenomen in de totale Internet.nl-testscore. Dit betekent dat domeinnamen die niet slagen voor de RPKI-test niet langer een 100%-score kunnen behalen. Bovendien zal het resultaat van de RPKI-test voor deze domeinen een icoon met een rood kruis tonen. Vergeet niet om bij je hoster aan te kloppen als je domeinnaam niet slaagt voor de RPKI-test of voor een andere test. Veel testplezier!

Waarom krijgt RPKI score-impact?

Meer dan twee jaar geleden werd de RPKI-test toegevoegd aan de Internet.nl website- en e-mailtest. Sindsdien heeft de RPKI-test geen invloed gehad op de totale testscore. Bij de introductie werd echter al aangekondigd dat de RPKI-toets op een later moment wel een score-impact zou krijgen. Inmiddels heeft iedereen ruim de tijd gehad om RPKI te implementeren en is het gebruik van RPKI de afgelopen jaren enorm gegroeid. De tijd is nu dus meer dan rijp om RPKI op te nemen in de totale testscore.

Hoeveel wordt RPKI gebruikt?

Het RPKI-gebruik in de .nl-zone is gegroeid van ongeveer 68% in augustus 2022 naar 88% in januari 2025. De laatste meting "Toepassing van internetstandaarden voor websites van bedrijven, 2023" van het Centraal Bureau voor de Statistiek (CBS) liet ook een adoptiepercentage zien van meer dan 80%.

Voor Nederlandse overheden is RPKI een van de verplichte open standaarden. Er is namelijk een bestuurlijke afspraak gemaakt dat alle Nederlandse overheden eind 2024 RPKI geïmplementeerd moesten hebben. In de gerelateerde meting van medio 2024 door het Nederlands Forum Standaardisatie was de adoptie van RPKI voor overheidswebsites en -mail gegroeid naar respectievelijk 93% en 92%.

Voor meer RPKI-statistieken, zie de sectie "gebruiksstatistieken" in de RPKI kennisbank. Bekijk de pagina "Batch en dashboard" als je zelf regelmatig je domeinportfolio wilt meten en er statistieken over wilt verzamelen.

Waarom RPKI?

Resource Public Key Infrastructure (RPKI) is een techniek die bedoeld is om bepaalde routelekken en -hijacks te voorkomen. Het gaat om gevallen waarbij internetverkeer wordt omgeleid naar de systemen van een ongeautoriseerd netwerk.

Een dergelijke omleiding kan het gevolg zijn van een simpele typefout van een netwerkbeheerder die daarmee onbedoeld internetverkeer omleidt. Of het kan het resultaat zijn van een gerichte aanval op de infrastructuur van het internet, bijvoorbeeld om websites onbereikbaar te maken of om gegevens van internetgebruikers te stelen. Een relevant Nederlands voorbeeld betreft een incident waarbij in 2014 een set IP-adressen van het Ministerie van Buitenlandse Zaken tijdelijk gekaapt werd door een Bulgaarse netwerkoperator.

Hoe werkt de nieuwe scoreberekening?

De score wordt gelijk verdeeld over alle categorieën die een of meer vereiste testen bevatten. Dus op dit moment is de maximale score voor de RPKI-testcategorie in zowel de website- als de mailtest 25%. Voor elk RPKI-testonderdeel (d.w.z. naamservers, webservers, mailservers) telt het onderdeel "aanwezigheid" voor 1/3 en het onderdeel "geldigheid" voor 2/3.

In het algemeen kan de volgende berekening worden gebruikt om de nieuwe score te relateren aan de oude score:

nieuwe_totale_score (0-100%) = oude_totale_score (0-100%) / 1.33 + score_rpki (0-25%)

Voor meer informatie over scores zie "Uitleg van testrapport".

Wat is er nog meer belangrijk voor betrouwbare routering?

Internet.nl controleert momenteel alleen de publicatiekant en niet de validatiekant. Het controleert dus wel op RPKI Route Origin Authorizations (ROA) maar niet op RPKI Route Origin Validation (ROV). We raden sterk aan om er ook voor te zorgen dat je netwerk RPKI ROV uitvoert. Dit kan getest worden met tools zoals de RPKI Webtest van NLnet Lab en de "Is BGP al veilig?" test van Cloudflare.

Verder biedt het MANRS-initiatief belangrijke best practices voor aanvullende technieken, naast RPKI, die internetroutering betrouwbaarder maken.

Als je meer wilt leren, bekijk dan ook de trainingen, webinars en e-learning cursussen over RPKI en BGP-routing die worden aangeboden door RIPE NCC.

Over Internet.nl

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. De softwarecode van Internet.nl is online beschikbaar onder een open source licentie.

Release notes 1.9.0

1.9.0 (compared to latest 1.8) contains several testing changes, along with content improvements:

The RPKI test is now included in the total test score and its worst score is now a failure. Note that, as the score is evenly divided over all major categories, the score impact from each individual major category has been reduced. Therefore, scoring success on RPKI but fail on other tests, may result in a higher score than with 1.8. See the scoring documentation for details on the scoring algorithm.
Improvements in the null MX recommendation based on SPF values.
SPF test now correctly counts include/redirect for the 10 lookup limit.
DMARC test now detects a missing URI scheme.

Internal changes:

CI now detects missing or conflicting database migrations.
Many documentation improvements.
Improvements in customisability for forked versions.

For all issues, see the 1.9 milestone, though some of those were backported to 1.8 already.