⚠️ Caution: This is an early demo of our test updates for NCSC's 2025 TLS guidelines, to allow you to test against the new guidelines.

Some explanation text is still missing, out of date, or in rough draft state. Test evaluations may still change.
This URL is an active development environment and has limited availability - it may be down for hours or days.

Tests from this instance originate from different IPs than those used in production. If you use allowlisting on our production IPs, results may vary, particularly for email TLS. To include this instance, allowlist 62.204.66.0/26 and 2a00:d00:ff:162::/64.

Terugblik bijeenkomst Platform Internetstandaarden 4 december 2025

7 april 2026
Op donderdag 4 december kwam het Platform Internetstandaarden samen voor de vierde en laatste bijeenkomst van het jaar. De bijeenkomst vond plaats bij de Rijksinspectie Digitale Infrastructuur (RDI) in Amersfoort, waar het platform gastvrij werd ontvangen. Op de agenda stonden onder andere een introductie van de RDI, een terugblik en vooruitblik op evenementen, ontwikkelingen rond Internet.nl en presentaties over open source software en DNS-infrastructuur, security.txt, geüpdatete TLS-richtlijnen en ACME. Gerben Klein Baltink zat de bijeenkomst voor, waaraan in totaal 19 deelnemers meededen.

Introductie RDI

Brenda Langedijk, specialistisch inspecteur bij de RDI, gaf een introductie van de RDI, die sinds 2023 lid is van het Platform Internetstandaarden.

De RDI staat voor de beschikbaarheid en betrouwbaarheid van IT- en communicatienetwerken, zodat Nederland veilig verbonden is. Hiertoe houdt de RDI onder meer toezicht op de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn (Network and Information Systems Directive). Naar verwachting treedt de Cbw in het tweede kwartaal van 2026 in werking.

De Cbw gaat gelden voor essentiële en belangrijke organisaties in verschillende sectoren, zoals energie, ruimtevaart, onderzoek, digitale infrastructuur en overheid. Ook grotere bedrijven in andere sectoren kunnen onder de wet vallen.

Organisaties die onder de Cbw vallen, krijgen onder andere te maken met de registratieplicht, zorgplicht en meldplicht. De overheid adviseert organisaties om zich hier nu alvast op voor te bereiden, door bijvoorbeeld een risicoafweging te maken. Onder andere cloudserviceproviders kunnen hier op de website van RDI meer over lezen. Het is nu al mogelijk vrijwillig te registreren op mijn.ncsc.nl.

Vaak wordt gesteld dat er geen mogelijkheden zijn als het om uitbesteden naar Cloudoplossingen en hyperscalers gaat, maar een voorbeeld om zelf een risicoafweging te kunnen doen is gebruik te maken van de Cloud Control Matrix van de Cloud Security Alliance (CSA).

De RDI houdt op verschillende manieren toezicht op de Cbw: van verschillende vormen van voorlichting tot inspecties op locatie. Zij werkt hierbij samen met andere toezichthouders op wetten rondom digitale weerbaarheid. In verband met strategische autonomie, is ook de Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo) relevant. Op de naleving van deze wet wordt toezicht gehouden door het Bureau Toetsing Investeringen (BTI), dat onder de Minister van Economische Zaken valt.

Terugblik en vooruitblik evenementen

De vorige bijeenkomst van het Platform Internetstandaarden vond plaats op 18 september 2025 bij ECP | Platform voor de InformatieSamenleving in Den Haag. Sindsdien waren platformleden actief bij diverse externe evenementen, als organisator, spreker of bezoeker.

Sasha Romijn (Internet.nl) nam deel aan NLNOG Day 2025 op 30 september in Amsterdam. Zij presenteerde er ‘The How and Why of Internet.nl’ en deelde hierin onder meer feedback van de NLNOG-gemeenschap op Internet.nl.

Gerben Klein Baltink (Platform Internetstandaarden) en Wouter Kobes (Forum Standaardisatie) namen op 30 oktober deel aan de Logius Roadshow. Tijdens de sessie ‘Veilige en beheersbare domeinnamen binnen de overheid’ gaven zij aandacht aan het webgebaseerde dashboard van Internet.nl.

Vooruitkijkend staan er ook weer belangrijke evenementen op de agenda, zoals 39C3 (27 tot 30 december 2025), FOSDEM 2026 (31 januari tot 1 februari 2026), Domain pulse 2026 (4 tot 5 februari 2026), M3AAWG (16 tot 19 februari 2026), ICANN85 (7 tot 12 maart 2026), IETF 125 (13 tot 20 maart 2026) en Cloudfest 2026 (23 tot 26 maart 2026).

IETF 125 wordt gehouden in Shenzhen, China. Om de risico’s op spionage tijdens reizen naar China te beperken, heeft de AIVD een advies opgesteld.

De rol van open source software in de wereldwijde DNS-infrastructuur

Maarten Aertsen (NLnet Labs) neemt op persoonlijke titel deel aan de Security and Stability Advisory Committee (SSAC) van ICANN. Vanuit die hoedanigheid presenteerde hij het rapport ‘The Domain Name System Runs on Free and Open Source Software (FOSS)’ van de SSAC. Dit rapport onderzoekt de rol van vrije en open source software (FOSS) binnen het Domain Name System (DNS) en is opgesteld met beleidsmakers in gedachten.

Het onderzoek laat zien dat de wereldwijde en gedistribueerde DNS-infrastructuur sterk afhankelijk is van FOSS: - Van de 12 organisaties die de rootservers beheren, gebruiken er ten minste negen uitsluitend FOSS DNS-implementaties om query’s te beantwoorden. - Negen van de tien grootste partijen die autoritatieve DNS-diensten verlenen voor TLD-registries gebruiken hiervoor FOSS. - Op het gebied van domeinnaamregistratie zijn veel grote systemen weliswaar propriëtair, maar ze zijn overwegend gebouwd op FOSS-componenten. - FOSS is sterk vertegenwoordigd in het diverse ecosysteem van DNS-resolvers.

FOSS verschilt van propriëtaire software. Kenmerkend is dat gebruikers de vrijheid hebben om de software te gebruiken, te bestuderen, te delen en te wijzigen. Iedereen kan bijdragen aan de software en dit gebeurt vaak zonder dat hieraan contractuele afspraken ten grondslag liggen of dat hiervoor betalingen worden gedaan. Bij propriëtaire software is dit niet of minder het geval.

FOSS is niet per definitie veiliger of minder veilig dan propriëtaire software. De veiligheid van software hangt af van de kwaliteit van onderhoud, niet van de licentie. In tegenstelling tot FOSS in het algemeen, kent de DNS-wereld een handvol langdurig actieve onderhoudsorganisaties.

Beleid moet op deze realiteit worden afgestemd. Zou het bijvoorbeeld klakkeloos uitgaan van een conventionele klant-leverancierrelatie en de individuen en organisaties die FOSS onderhouden aanmerken als leverancier, dan loop je onder de Europese Verordening cyberweerbaarheid en NIS 2-richtlijn het risico dat deze partijen zodanig worden belast, dat ze het project verlaten en de software minder veilig en minder beschikbaar wordt.

Voor beleid dat bijdraagt aan een veilige en stabiele werking van het internet, zijn de volgende strategieën van belang: - Wijs verantwoordelijkheden op de juiste manier toe: Leg verplichtingen op aan commerciële integrators en operators, in plaats van aan maintainers. - Stimuleer duurzaam onderhoud: Richt onafhankelijke organisaties voor onderhoud (‘opensourcesoftwarestewards’ onder de Verordening cyberweerbaarheid) in, of ondersteun deze, om ondersteuning en onderhoud door de gemeenschap voor kritieke projecten te financieren. - Pas supply chain-concepten aan: Erken dat het ontbreken van contracten betekent dat er geen directe relaties met leveranciers zijn en pas de regelgevingsstrategie daarop aan. - Voorkom conflicterende regionale regelgeving: Voorkom overlappende regelgeving voor wereldwijd kritieke infrastructuur, zoals rootservers.

Er is onder beleidsmakers veel interesse in het rapport.

De adoptie van security.txt: een best practice voor open internetstandaarden

Daniël Federer gaf een presentatie over de resultaten van het stimuleringsproject van de Vereniging van Registrars (VvR) voor de adoptie van security.txt, waarvan hij de projectleider was. Security.txt, vastgelegd in RFC 9116, is een bestandsformaat dat organisaties helpt om kenbaar te maken hoe beveiligingsonderzoekers kwetsbaarheden kunnen melden. Het is een relatief nieuwe standaard en het gebruik ervan is nog geen gemeengoed. De stimulering hiervan heeft de VvR op verzoek van en met steun van SIDN fonds opgepakt.

Om het voor registrars makkelijk te maken, is de VvR in gesprek gegaan met leveranciers van controlpanels om ondersteuning voor security.txt toe te voegen. Hierop zijn DirectAdmin en Plesk voorzien van ‘native’ security.txt-functionaliteit.

Verder heeft de VvR samen met SIDN een incentiveprogramma opgezet. SIDN heeft hiervoor haar Registrar Scorecard (RSC) uitgebreid. Registrars ontvangen van SIDN een vergoeding voor iedere domeinnaam waarvan de website een geldig en bruikbaar security.txt-bestand aanbiedt.

Tot slot heeft de VvR een WordPress-plugin laten ontwikkelen waarmee het toevoegen van een security.txt-bestand met enkele klikken mogelijk is. De plugin bevat een koppeling met Internet.nl om te controleren of alles correct is ingesteld, ook voor andere standaarden. De plugin is vrij van advertenties en kent geen premium.

Mede dankzij het project is de adoptie van security.txt gegroeid naar bijna 13%. In het aantal meldingen van kwetsbaarheden wordt ook een toename ervaren. De kwaliteit van meldingen laat weleens te wensen over, maar dit wordt niet veroorzaakt door security.txt.

Het mooie van security.txt is dat deze open standaard eenvoudig is toe te passen en dat kwetsbaarheden daardoor snel op de juiste plek kunnen worden gemeld. Dit draagt bij aan een veiliger internet. Nu is het belangrijk om de druk erop te houden en security.txt verder onder de aandacht te brengen, bijvoorbeeld door er een Engelstalig artikel over te schrijven.

ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) versie 2025-05

Koen Sandbrink, adviseur Cybersecurity bij het NCSC, was aangesloten voor een tweetal presentaties, de eerste over de geüpdatete beveiligingsrichtlijnen voor Transport Layer Security (TLS).

Het TLS-protocol zorgt voor versleuteling bij de uitwisseling van gegevens tussen clients en servers. De meest actuele versie is versie 1.3, vastgelegd in RFC 8446.

NCSC heeft in 2014 voor het eerst beveiligingsrichtlijnen voor TLS gepubliceerd en onderhoudt deze sindsdien. De vorige versie van de richtlijnen dateert uit 2021. De geüpdatete versie is versie 2025-05.

In versie 2025-05 zijn theorie en richtlijnen uit elkaar gehaald, waardoor de structuur is veranderd. Ook zijn de beveiligingsniveaus geactualiseerd. Het beveiligingsniveau van TLS 1.1 en TLS 1.0 is nu bijvoorbeeld ‘Onvoldoende’. In de vorige versie was dit ‘Uit te faseren’.

De richtlijnen bevatten ook advies in verband met de quantumdreiging. Niet-quantumveilige instellingen zijn hooguit ‘Voldoende’. Voor authenticatie zijn nog geen algoritmes met beveiligingsniveau ‘Goed’.

Volgens het Besluit beveiligde verbinding met overheidswebsites en -webapplicaties zijn bestuursorganen verplicht om hun publiek toegankelijke websites en webapplicaties te beveiligen volgens de TLS-richtlijnen. Dit besluit wordt gewijzigd. Waar het huidige besluit versie 2.1.1 voorschrijft, wordt in het herziene besluit verwezen naar versie 2025-05.

Over het aangepaste besluit loopt een consultatie: https://www.internetconsultatie.nl/verzamelbesluitdigitaleoverheid. Reageren kan tot 6 januari 2026.

De nieuwe richtlijnen worden ook in Internet.nl geïmplementeerd.

Gebruik van het Automatic Certificate Management Environment (ACME)-protocol voor certificaatbeheer

Koen vervolgde met een presentatie over ACME, een internetstandaard (RFC 8555) waarmee je de periodieke vervanging van certificaten kunt automatiseren.

Het Certification Authority/Browser Forum (CA/Browser Forum), een overlegorgaan van certificaatautoriteiten en leveranciers van browsersoftware en andere applicaties die certificaten gebruiken, heeft bepaald dat de levensduur van TLS-certificaten stapsgewijs wordt verkort naar uiteindelijk 47 dagen vanaf 2029.

De certificaatautoriteit Let’s Encrypt loopt op de muziek vooruit door nu al certificaten met een kortere levensduur aan te bieden. Let’s Encrypt heeft ook een belangrijke rol gespeeld in de ontwikkeling en promotie van ACME.

ACME is verplicht voor de overheid (‘Pas toe of leg uit’) voor publiek vertrouwde TLS-certificaten en aanbevolen voor niet-publiek vertrouwde certificaten.

Bij de implementatie en het gebruik van ACME moet met een aantal punten rekening worden gehouden. Met ACME regel je het beheer van certificaten bijvoorbeeld niet meer centraal, maar op de systemen die ze gebruiken. Om certificaten aan te vragen, gebruiken deze systemen inloggegevens en die moet je veilig opslaan. ACME vereist verder dat poort 80 open blijft, wat niet iedereen wil. DNS-PERSIST-01 gaat hierbij helpen.

ACME wordt mogelijk ook in Internet.nl geïmplementeerd.

Ontwikkelingen op het gebied van Internet.nl, API en dashboard

Sasha Romijn, ontwikkelaar van de Internet.nl-website en API, en Elger Jonker, ontwikkelaar van het Internet.nl-dashboard, gaven een update over actuele ontwikkelingen rond Internet.nl.

In 2025 zijn tot dusver via de website 830K testen uitgevoerd en via de API 11M testen. Ten opzichte van 2024 is in het aantal website-testen een kleine daling zichtbaar, mede door een verschuiving naar de API. Het aantal API-testen is gestegen.

De grootste ontwikkeling voor de website is de implementatie van de nieuwe TLS-richtlijnen van het NCSC. De wijzigingen in de TLS-test beïnvloeden de Internet.nl-testscore, zowel in de websitetest als in de e-mailtest. Om verrassingen te voorkomen, zal een preproductieomgeving breder beschikbaar worden gemaakt om alvast te kunnen testen.

Verder komt PQC-ondersteuning binnenkort beschikbaar in nassl en later ook in Internet.nl.

Voor het dashboard zijn de nieuwe subtest voor Certification Authority Authorization (CAA) en de eigen API belangrijke ontwikkelingen. Ook wordt gewerkt aan de stabiliteit van het dashboard. Voor de roadmap, zie https://github.com/internetstandards/Internet.nl-dashboard/issues/633. Hier kunnen ook nieuwe wensen worden doorgegeven.

En verder…

Verder is teruggeblikt op de vorige bijeenkomst en zijn de plannen voor de volgende bijeenkomst besproken. Er werd afgesloten met een borrel.

Geïnteresseerd in de onderwerpen waarover het Platform Internetstandaarden spreekt?

Voor meer informatie over moderne internetstandaarden of activiteiten van het Platform Internetstandaarden, volg ons op Mastodon of LinkedIn.