Bronnen

Domeinvertrouwen, uitgelegd

Heldere uitleg over de vertrouwenssignalen waarop browsers, mailboxen en auditors uw domeinen beoordelen — wat elk signaal is, hoe u uw resultaat leest en hoe u het oplost. Geen registratie nodig.

E-mailauthenticatie

SPF, DKIM & DMARC

SPF, DKIM en DMARC vertellen ontvangende mailservers dat een bericht echt van u komt. Zonder deze kan iedereen e-mail versturen namens uw domein — en mailboxproviders weigeren of quarantainen domeinen die ze niet instellen steeds vaker.

Waarom het belangrijk is

Zwakke e-mailauthenticatie is de meest voorkomende manier waarop merken worden vervalst bij phishing, en een DMARC-beleid van p=none geeft u zichtbaarheid zonder enige bescherming. Mailboxproviders verwachten inmiddels handhaving.

Zo leest u uw SkyQon-resultaat

SkyQon toont de aanwezigheid en het beleid van elk record, signaleert SPF-lookups die de limiet van 10 DNS-queries overschrijden, en waarschuwt wanneer DMARC vastzit op p=none of de uitlijning faalt.

Zo lost u het op

Publiceer SPF en DKIM en zet DMARC daarna van p=none naar quarantine en ten slotte reject zodra uw legitieme afzenders slagen. SkyQon geeft u de exacte records en verifieert opnieuw na toepassing.

Veelgemaakte fouten

Een tweede SPF-record (er is er maar één toegestaan), een p=reject-beleid zonder rapportageadres, en onbeschermde subdomeinen — aanvallers vervalsen graag het domein dat u vergat.

Bekijk in het platform →
DNS & DNSSEC

Ondertekende, manipulatiebestendige DNS

DNS is het adresboek voor alles wat uw domein doet. DNSSEC ondertekent uw DNS-antwoorden cryptografisch, zodat resolvers manipulatie of cachevergiftiging kunnen detecteren.

Waarom het belangrijk is

Niet-ondertekende DNS laat een aanvaller antwoorden vervalsen en uw e-mail of website ongemerkt omleiden. CAA-, MTA-STS- en TLS-RPT-records voegen extra beveiligingen toe die veel domeinen nooit instellen.

Zo leest u uw SkyQon-resultaat

SkyQon meldt of DNSSEC is ingeschakeld en geldig is, of een CAA-record beperkt wie certificaten voor u mag uitgeven, en of MTA-STS en TLS-RPT aanwezig en consistent zijn.

Zo lost u het op

Schakel DNSSEC in bij uw DNS-provider en publiceer het DS-record bij uw registrar; voeg een CAA-record toe met uw CA; publiceer MTA-STS- en TLS-RPT-beleid. SkyQon levert elk record en kan ondersteunde oplossingen voor u toepassen.

Veelgemaakte fouten

DNS ondertekenen maar het DS-record nooit bij de registrar toevoegen (waardoor niets echt wordt gevalideerd), en een CAA-record dat per ongeluk uw eigen certificaatautoriteit buitensluit.

Bekijk in het platform →
Certificaten & TLS

Certificaten die nooit verlopen

Uw TLS-certificaten en cipherconfiguratie zijn wat een browser controleert voordat hij het slotje toont. Een verlopen of onjuist uitgegeven certificaat is een directe, zichtbare storing.

Waarom het belangrijk is

Het verlopen van certificaten is nog steeds een van de meest voorkomende zelfveroorzaakte storingen, en zwakke TLS-versies of ciphers laten audits stilletjes mislukken en tasten vertrouwen aan lang voordat ze echt breken.

Zo leest u uw SkyQon-resultaat

SkyQon volgt de vervaldatum, keten en sleutelsterkte van elk certificaat over uw domeinen, beoordeelt de TLS-configuratie en signaleert alles wat binnen uw waarschuwingsvenster verloopt.

Zo lost u het op

Vernieuw vóór het verlopen (of automatiseer het), verwijder verouderd TLS 1.0/1.1 en zwakke ciphers, en serveer de volledige keten. SkyQon waarschuwt tot 30 dagen vooraf en kan vernieuwingen voor u bewaken.

Veelgemaakte fouten

Het leaf-certificaat vernieuwen maar een intermediate vergeten, alleen het hoofddomein bewaken terwijl een subdomein verloopt, en interne certificaten waar niemand eigenaar van is.

Bekijk in het platform →
NIS2-bewijs

Bewijs, geen beloftes

NIS2, DORA en eIDAS vragen u steeds vaker om aan te tonen dat uw domeinvertrouwenscontroles daadwerkelijk werken — niet alleen te beweren. Dat vereist gedateerd, verifieerbaar bewijs.

Waarom het belangrijk is

Auditors en toezichthouders willen bewijs boven beloftes. Screenshots verouderen slecht en zijn makkelijk te betwisten; een ondertekend, van tijdstempel voorzien overzicht van uw situatie niet.

Zo leest u uw SkyQon-resultaat

SkyQon zet continue monitoring om in een ondertekend bewijsrapport dat is afgestemd op de relevante controleverwachtingen, met een inhouds-hash die iedereen onafhankelijk kan verifiëren.

Zo lost u het op

Genereer het bewijsrapport voor de beoordeelde periode en geef het aan uw auditor; de openbare verificateur bevestigt dat het niet is gewijzigd. SkyQon levert het bewijs — eerlijk gepresenteerd als “afgestemd op”, nooit “gecertificeerd”.

Veelgemaakte fouten

Een scan-screenshot als bewijs behandelen, en “afgestemd op NIS2” verwarren met “NIS2-gecertificeerd” — SkyQon maakt dat onderscheid bewust.

Bekijk in het platform →
Merkimitatie

Betrap look-alikes vroeg

Aanvallers registreren look-alike-domeinen — verwisselde letters, extra koppeltekens, andere extensies — om uw klanten en medewerkers te phishen. Meestal komt u er pas achter na de schade.

Waarom het belangrijk is

Een overtuigende look-alike met een geldig certificaat is alles wat een phishingcampagne nodig heeft. Certificate Transparency-logs maken deze registraties vroeg zichtbaar — als u oplet.

Zo leest u uw SkyQon-resultaat

SkyQon bewaakt Certificate Transparency op certificaten die zijn uitgegeven op namen die op de uwe lijken, en brengt nieuw gesignaleerde look-alikes naar voren zodat u kunt handelen voordat een campagne toeslaat.

Zo lost u het op

Beoordeel elke look-alike, vraag takedowns aan voor de kwaadaardige en registreer de meest risicovolle varianten vooraf. De Brand Protection-add-on van SkyQon volgt zaken en misbruikcontacten van begin tot eind.

Veelgemaakte fouten

Alleen uw exacte domein bewaken, andere extensies (.io / .co / .app) negeren, en aannemen dat een look-alike onschuldig is tot hij wordt ingezet.

Bekijk in het platform →
Post-quantum-gereedheid

Start de migratieklok

Een toekomstige quantumcomputer zou de RSA- en ECC-versleuteling kunnen breken die het verkeer van vandaag beschermt. “Harvest-now, decrypt-later” betekent dat vandaag onderschepte data later kan worden ontsleuteld — de klok tikt dus al.

Waarom het belangrijk is

Toezichthouders en normalisatie-instellingen publiceren al post-quantumtijdlijnen. Weten waar klassieke cryptografie in uw omgeving zit, is de eerste stap, en dat kost tijd.

Zo leest u uw SkyQon-resultaat

SkyQon beoordeelt de post-quantumgereedheid van uw TLS- en certificaatstack en inventariseert waar kwantumkwetsbare algoritmen nog in gebruik zijn.

Zo lost u het op

Bouw een cryptografische inventaris, geef prioriteit aan langlevende geheimen en extern gerichte diensten, en plan hybride/PQC-adoptie zodra uw leveranciers die uitbrengen. De PQC-roadmaptooling van SkyQon structureert de overgang.

Veelgemaakte fouten

Post-quantum als een probleem voor later behandelen, en langlevende data over het hoofd zien die een “harvest-now”-aanvaller als eerste viseert.

Bekijk in het platform →
Gratis download

De EU-checklist voor domeinvertrouwen

Een checklist van één pagina met de certificaat-, DNS-, e-mail- en bewijscontroles die we uitvoeren — met de oplossing voor elk. Gebruik hem om uzelf te beoordelen voordat u een scan uitvoert.

Woordenlijst

De afkortingen achter de bevindingen, elk in één regel.

SPF
Sender Policy Framework — vermeldt welke servers e-mail voor uw domein mogen versturen.
DKIM
DomainKeys Identified Mail — een cryptografische handtekening die bewijst dat een bericht onderweg niet is gewijzigd.
DMARC
Vertelt mailboxen wat te doen met e-mail die SPF of DKIM niet doorstaat, en waar rapporten heen moeten.
DNSSEC
Ondertekent uw DNS-records zodat resolvers vervalste of gemanipuleerde antwoorden kunnen detecteren.
CAA
Een DNS-record dat de certificaatautoriteiten benoemt die certificaten voor uw domein mogen uitgeven.
MTA-STS
Dwingt inkomende e-mail naar uw domein via geauthenticeerde, versleutelde TLS af.
TLS-RPT
Levert rapporten wanneer TLS-bezorging aan uw mailservers mislukt.
CT
Certificate Transparency — openbare logs van elk uitgegeven certificaat, gebruikt om look-alikes en onjuiste uitgifte op te sporen.
OV / EV
Organisation- en Extended-Validation-certificaten die een geverifieerde juridische identiteit aan een domein koppelen.
QWAC
Qualified Website Authentication Certificate — een eIDAS-gekwalificeerd certificaat dat de website-identiteit in de EU aantoont.
PQC
Post-Quantum Cryptography — algoritmen die zijn ontworpen om aanvallen van quantumcomputers te weerstaan.
OCSP
Online Certificate Status Protocol — een live controle of een certificaat is ingetrokken.

Veelgestelde vragen

Hoe vaak moet ik de vertrouwenspositie van mijn domeinen controleren?
Doorlopend. Certificaten verlopen op een vaste datum, DNS- en e-mailrecords verschuiven naarmate teams ze aanpassen, en look-alike-domeinen duiken zonder waarschuwing op — een eenmalige scan veroudert binnen weken. SkyQon monitort en waarschuwt u, zodat u alleen handelt wanneer er iets verandert.
Is “afgestemd op NIS2, DORA of eIDAS” hetzelfde als gecertificeerd zijn?
Nee, en daar zijn we bewust in. SkyQon levert bewijs dat is afgestemd op wat deze kaders van uw domeinvertrouwenslaag verwachten. De certificeringsbeslissing blijft bij uw auditor; wij geven hem verifieerbaar bewijs, geen keurmerk.
Kan SkyQon problemen voor mij oplossen, of ze alleen melden?
Beide. Elke bevinding komt met het exacte record of de configuratie om toe te passen, en bij ondersteunde providers kan SkyQon DNS-oplossingen vanaf Pro voor u toepassen en opnieuw verifiëren. Certificaten en registrarinstellingen lopen nog steeds via uw eigen wijzigingsbeheer.
Heeft SkyQon toegang tot mijn systemen nodig?
Nee. SkyQon inspecteert dezelfde openbare signalen die een browser, mailboxprovider of auditor ziet — extern, zonder installatie en zonder inloggegevens. Interne dekking is een optionele add-on voor teams die dat willen.
Wat maakt SkyQon anders dan een gratis eenmalige scanner?
Een eenmalige scanner controleert één signaal, één keer. SkyQon bewaakt certificaten, DNS, e-mail, blootstelling en post-quantumgereedheid samen, beoordeelt ze eerlijk (dekking versus positie) en zet — op abonnementen met bewijsrapporten — het resultaat om in ondertekend bewijs, doorlopend.
Waar staan mijn gegevens?
In de Europese Unie. We lezen uitsluitend informatie die al openbaar waarneembaar is over uw domeinen, en we zijn gebouwd en beheerd volgens de Europese gegevensbeschermingseisen.

Klaar om uw eigen posture te zien?