Ik blijf een beetje aan de gang met vanalles aan alle dns boekhoudingen toe te voegen, zeg. Om daarna gekeurd en gerapportcijferd te worden door clubjes waar ik geen lid van ben.

Internet.nl test gewoon op openbare bestaande informatie (duh, dns) en hiermee is het voor een overheidsinstantie eenvoudig om te testen waaraan zij zouden moeten voldoen (conform forum standaardisatie)
Wanneer je geen overheid bent heb je denk ik de volledige vrijheid? Al zou je vanuit ‘cyberhygiene’ (bah!) misschien ook wel 100% willen scoren.

De website test checkt in principe alles wat niet inhoudelijk is voor de webpagina.
De configuratie van DNS, IP, SSL en HTTP word in één keer gecontroleerd op mogelijke problemen.
Heel handig als je zelf niet weet welke beveiligingsmaatregelen er zijn en hoe je die valideert.
Natuurlijk betekent een 100% niet magisch dat alles veilig is, maar je komt wel een redelijk eind.

Trouwens, security.nl heeft geen 100%, dit had ik eigenlijk niet verwacht:
https://internet.nl/site/security.nl/3302980/
- Geen IPv6
- Missende HTTP beveiligingsheaders
- geen security.txt

Dat kan beter... ;-)

Ipv6 werd vroeger al veel gebruikt door hekkerts. Het protocol zelf is al heel oud, stamt nog uit de preek dat spoedig alle ipv4 adressen op zouden raken. Dus doe maar iets lagers met een MAC adres erin, want dat is uniek. Tot de netwerk interfaces kwamen waar je zelf je MAC adres kon veranderen. Maar even naar het nu, zolang je ipv6 niet echt nodig hebt, is het inzichzelf een security risico. Heel verstandig dus om geen ipv6 te hebben als alles zonder ipv6 ook prima werkt.

Beveiligingsheaders en security.txt zijn ook mooie informatie om vast te laten weten waar je allemaal wél aan hebt gedacht. Terwijl je belang is je eigen site en server veilig te houden.

Securitybewustzijn is juist je bewust zijn dat er altijd iets kan zijn waar je nog niet aan had gedacht. En al weten hoe je dan je zaakjes weer zo snel mogelijk herstelt.

Wat achterwege laten kan trouwens ook goede security zijn. Zo brak er pasgeleden een voortand bij me af. Op zich geen verlies van functionaliteit. Maar het maakt het minder waarschijnlijk dat ik eruit word gepikt om te overvallen. Dàt is echter securitydenken voor gevorderden.

Lekker spuit 11, SSL Labs had dit al 8 jaar:
https://blog.qualys.com/product-tech/2017/03/13/caa-mandated-by-cabrowser-forum

Ze voegen geen sites meer toe heb ik gemerkt. 2x 100% score, alles groen op ocsp stapling na (wegens Let's Encrypt) maar niet toevoegen aan de lijst.

Kun je dat toelichten?

Ja, je hebt gelijk, IPv6 is in 1995 geïntroduceerd en is daarmee ouder dan dat ik ben.
Dan is het maar beter om IPv4 te gebruiken, aangezien dat maar uit 1981 komt, he? :-)
Maar even serieus: IPv4 is al op, alle RIR's zijn door hun reserves heen.
(Lees https://en.wikipedia.org/wiki/IPv4_address_exhaustion maar eens door.)
En met introductie van SLAAC privacy extensions is de MAC gewoon vervangen door willekeurige getallen.

IPv6 brengt inderdaad risico's met zich mee, net zoals IPv4. Maar het brengt ook connectiviteit mee.
Er zijn landen waar IPv4 achter gammele CG-NAT zit die onbetrouwbaar is of door websites word geblokkeerd..
Hun problemen zijn de gevolgen van de (onder andere jouw) keuze om geen IPv6 te gebruiken voor je servers!

Dat jij de gevolgen van IPv4 address exhaustion niet opmerkt wil niet zeggen dat die er niet zijn.
Andere mensen dragen de gevolgen, en zij zullen dus genoodzaakt zijn om op IPv6 over te stappen.
Kijk maar eens naar deze statistieken: https://www.google.com/intl/en/ipv6/statistics.html

Dus je bent liever lui, en vind het vervelend dat mensen en machines een kwalificatie of mening over jouw luiheid hebben?
Ironisch. Een mening over een machinale kwalificatie. Maar geen probleem.
Ik denk dat sowieso niemand had verwacht dat jouw mening niet zou gaan bestaan.

Ondertussen gebruik ikzelf het CAA record om serieuse risico's op serieuse targets te minimaliseren.
Al heeft zelfs ook de .dog domeinnaam van mijn hond een CAA record. Gewoon omdat het kan. G-R-A-T-I-S. Even gratis als jouw SSL certicaat, waar je waarschijnlijk net zo goed zonder kan. Net als mijn hond, die er toch ook eentje heeft.

Het CAA record is ontstaan nadat Google maatregelen wilde nemen tegen overheids CA, zoals Frankijk, die certificaten voor gmail.com genereerden, om zo MITM te kunnen zijn bij hun ambtenaren.

Het is een RFC geworden, via een clubje, de IETF, waar extremistisch fundementalistische nerds met lange grijze baard lid van willen worden. Hoewel ook sporadisch een vrouw met paars haar en een zware stem, die identificeren als hoogbegaafd. Kortom, varierend van bigtech-lobbist tot cyber-idealist, die het tezamen nuttig vonden om een mechanisme op te tuigen waarmee je je enigsinds kunt weren tegen zulks misbruik: https://datatracker.ietf.org/doc/html/rfc6844

Ik gok dat jij ook heel goed zonder CAA kan, zoals vele miljoenen domeinen dat niet hebben.
Maar, ik denk dat je ook best wel begrijpt dat iemand anders, die SSL wil testen, deze test wèl intressant vindt.

Ongeacht; er zijn ontelbaar instellingen/instituten/media/banken/overheden/etc/etc. die dankbaar gebruik maken zijn gaan maken van het CAA record, bijvoorbeeld na het zien van een dergelijke security scan.

Als je het geen probleem vindt dat elke CA, buiten de CA waarmee je gewoonlijk werkt, een certificaat mag uitgeven voor jouw geliefde domeinnaam - laat dan vooral het CAA record achterwege.

Als je het prima vindt om even een handeling te verrichten (CAA-records werken echt heel simpel) om bovenstaande juiste voorkomen, doe dat dan.

Ingewikkelder dan dit is het niet.