DNSSEC (Domain Name System Security Extensions) voegt een laag van cryptografische verificatie toe aan DNS. Het zorgt ervoor dat een resolver kan controleren of de ontvangen DNS-antwoorden echt van de juiste bron komen en onderweg niet zijn gewijzigd. In dit artikel leest u wat DNSSEC doet, wanneer u het inschakelt en hoe u dit stap voor stap regelt.
Probleem
U wilt voorkomen dat aanvallers via cache poisoning of DNS-spoofing bezoekers naar een valse server leiden. Zonder DNSSEC kan een resolver niet verifiëren of een DNS-antwoord authentiek is, waardoor manipulatie mogelijk blijft.
Oorzaak
Standaard-DNS is niet ondertekend. Antwoorden worden zonder cryptografische verificatie geaccepteerd, waardoor een aanvaller in theorie vervalste records kan injecteren in de cache van een resolver.
DNSSEC lost dit op door elke zone digitaal te ondertekenen met een sleutelpaar. De ondertekening wordt geverifieerd via een keten van vertrouwen die begint bij de root-zone en doorloopt tot uw domein via een DS-record bij de registry.
Het ontbreken van DNSSEC komt vaak doordat het simpelweg nog niet is geactiveerd, of doordat de DS-record bij de registrar niet correct is gekoppeld aan de sleutel van uw DNS-zone.
Oplossing
Controleer eerst of uw DNS-provider en uw registrar DNSSEC ondersteunen. Beide moeten meewerken: de DNS-provider ondertekent de zone, de registrar plaatst de DS-record bij de registry (.nl via SIDN).
Activeer DNSSEC in het paneel van uw DNS-provider. De provider genereert dan de benodigde sleutels en ondertekent de zone automatisch.
Koppel de DS-record (of DNSKEY-gegevens) bij uw registrar. Veel partijen doen dit automatisch wanneer DNS en registratie bij dezelfde aanbieder liggen.
Stappenplan
- Controleer of uw DNS-provider DNSSEC ondersteunt.
- Controleer of uw registrar DS-records kan plaatsen.
- Schakel DNSSEC in bij uw DNS-provider zodat de zone wordt ondertekend.
- Noteer de gegenereerde DS-record (key tag, algoritme, digest).
- Voer de DS-record in bij uw registrar of laat dit automatisch koppelen.
- Wacht tot de wijziging bij de registry is verwerkt.
- Controleer met een DNSSEC-validatietool of de keten van vertrouwen klopt.
- Monitor de eerste dagen op resolutieproblemen.
Voorbeeld DS-record
Een DS-record bevat een verwijzing naar de sleutel waarmee uw zone is ondertekend. Onderstaand voorbeeld toont de typische velden.
Voorbeeld:
Key Tag: 12345 Algoritme: 13 (ECDSAP256SHA256) Digest Type:2 (SHA-256) Digest: 49FD46E6C4B45C55D4AC...
Hoe de keten van vertrouwen werkt
DNSSEC bouwt een keten van vertrouwen op van de root-zone naar het topleveldomein (zoals .nl) en vervolgens naar uw eigen domein. Elke schakel ondertekent de sleutel van de schakel daaronder.
Wanneer een validerende resolver een antwoord ontvangt, controleert deze de handtekeningen langs de hele keten. Klopt er iets niet, dan wordt het antwoord verworpen in plaats van mogelijk vervalste gegevens te tonen.
- Root-zone ondertekent het TLD
- TLD (.nl) ondertekent uw domein via de DS-record
- Uw zone wordt ondertekend met DNSKEY-sleutels
Veelgemaakte fouten
- DNSSEC inschakelen bij de DNS-provider maar de DS-record niet bij de registrar plaatsen.
- Van DNS-provider wisselen zonder DNSSEC eerst uit te schakelen, waardoor de keten breekt.
- Een verouderde DS-record laten staan na een sleutelwissel (key rollover).
- Aannemen dat DNSSEC fouten in gewone records corrigeert; het verifieert alleen authenticiteit.
- DNSSEC activeren terwijl registrar of provider het niet volledig ondersteunt.
- Geen validatie uitvoeren na het inschakelen.
Controle na afloop
- Gebruik een DNSSEC-validatietool om de keten van vertrouwen te controleren.
- Controleer of de DS-record bij de registry overeenkomt met de zonesleutel.
- Test of uw website en e-mail normaal blijven werken.
- Controleer dat validerende resolvers geen SERVFAIL teruggeven.
Praktische tips
- Schakel DNSSEC bij voorkeur in wanneer DNS en registratie bij dezelfde partij liggen, zodat de DS-record automatisch wordt gekoppeld.
- Schakel DNSSEC altijd uit voordat u uw DNS naar een andere provider verhuist.
- Gebruik een online DNSSEC-checker na elke wijziging.
- Laat sleutelvernieuwing (rollover) bij voorkeur automatisch door de provider regelen.
Veelgestelde vragen
Wat gebeurt er als de DNSSEC-keten breekt?
Validerende resolvers geven dan een SERVFAIL en uw domein wordt onbereikbaar voor die gebruikers. Daarom is het belangrijk DNSSEC zorgvuldig te beheren bij wijzigingen.
Moet ik DNSSEC zelf onderhouden?
Meestal niet. De meeste DNS-providers regelen sleutelvernieuwing en ondertekening automatisch. U hoeft vooral op te letten bij providerwissels.
Beschermt DNSSEC mijn website tegen alle aanvallen?
Nee. DNSSEC verifieert de echtheid van DNS-antwoorden, maar versleutelt het verkeer niet en vervangt geen TLS/SSL of andere beveiligingsmaatregelen.
Samenvatting
DNSSEC beveiligt uw DNS door records cryptografisch te ondertekenen, zodat resolvers vervalsing kunnen detecteren. Activeer het bij uw DNS-provider, plaats de DS-record bij uw registrar en valideer de keten van vertrouwen. Let vooral op bij providerwissels: schakel DNSSEC dan eerst uit om te voorkomen dat uw domein onbereikbaar wordt.
Gerelateerde artikelen
- DNS-propagatie controleren: waarom wijzigingen tijd kosten
- Nameservers wijzigen: DNS-beheer verplaatsen
- A-record instellen: een domein naar een IP-adres wijzen
Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren