one.com ondersteunt DNSSEC, Domain Name System Security Extensions. Het is standaard ingeschakeld en geactiveerd wanneer het domein de nameservers van one.com gebruikt. In dit artikel geven we meer uitleg over DNSSEC.
Om DNSSEC te begrijpen is het handig om de basisprincipes van DNS (Domain Name System) te begrijpen. Om deze kennis op te frissen kun je ons artikel: Wat is DNS? raadplegen.
- Wat is DNSSEC?
- Wat beschermt DNSSEC?
- DNSSEC beheren
- Hoe controleer je of DNSSEC werkt
- Maak je geen gebruik van onze nameservers? > DS-records
Wat is DNSSEC?
DNS op zichzelf is niet veilig. Om beveiliging toe te voegen, is DNSSEC in het leven geroepen. Het is een set extensies die een extra beveiligingslaag toevoegt aan de DNS-zone door deze digitaal te ondertekenen. Als een domeinnaam gebruik maakt van DNSSEC, worden de DNS-records voorzien van cryptografische handtekeningen (security keys).
Deze handtekeningen worden gevalideerd door de DNS-resolvers, zodat de DNS-informatie van de juiste DNS-server komt. Op deze manier kan het record niet worden gewijzigd of vervalst en is er tijdens de transitie niet mee geknoeid. Dit biedt een veilige manier om toegang te krijgen tot de website en online services.
Wat beschermt DNSSEC?
DNS is kwetsbaar voor een reeks DNS-gebaseerde aanvallen, zoals DNS-spoofing, - kaping en - cachevervuiling. Deze aanvallen kunnen ernstige gevolgen hebben, waaronder het omleiden van gebruikers naar kwaadwillende of frauduleuze websites, het stelen van gevoelige informatie of het verstoren van de normale werking van het internet.
DNSSEC-ondertekende domeinen garanderen de authenticiteit en integriteit van de DNS-gegevens die tussen ondertekende zones worden uitgewisseld. Het verbeteren van de betrouwbaarheid en van de algehele beveiliging van de DNS-infrastructuur in een individuele zone.
De DNS-gegevens zijn niet gecodeerd en bieden geen bescherming van de privacy van gegevens. TLS/SSL versleutelt gegevens die worden uitgewisseld tussen clients en servers om verschillende internetprotocollen te beveiligen, waaronder surfen op het web (HTTPS) en e-mail (SMTP, IMAP). Aan de andere kant biedt een SSL-certificaat geen bescherming tegen spoofing, terwijl DNSSEC dat wel doet. Lees meer over SSL in onze artikelen in deze sectie.
Tip: Als je meer wilt weten over wat DNSSEC is en waarom het belangrijk is, bekijk dit artikel van ICANN.
DNSSEC beheren
DNSSEC is standaard ingeschakeld en geactiveerd bij gebruik van de nameservers van one.com. Als je wilt deactiveren, volg je deze stappen:
- Log in op het one.com Configuratiescherm.
- Op de tegel Geavanceerde instellingen, klik je op DNS-instellingen.
- Klik op het tabblad Nameserver.
- Klik in Nameserver beheer op het tabblad DNSSEC.
- Klik op de knop Deactiveer .
Hoe controleer je of DNSSEC werkt
Je kunt een webgebaseerde validatietool gebruiken om te controleren of de DNSSEC-configuratie werkt voor een domein. We hebben er hieronder twee op een rijtje gezet. Deze controleren of de DNS-records van het domein correct zijn ondertekend en kunnen worden geverifieerd door DNS-resolvers; ze bieden ook een rapport over eventuele problemen of fouten.
-
DNSViz.net - Biedt een visuele weergave. Je zou alleen "Secure" in de linkerkolom moeten zien.
- DNSSEC-Analyzer.VeriSignLabs.com - Biedt gedetailleerde informatie. Je zou alleen groene vinkjes moeten zien.
Heb je DNSSEC geactiveerd via het one.com Configuratiescherm? Dan kan de verificatie tot 24 uur duren. Een groene balk met het succesbericht is zichtbaar wanneer het succesvol is geactiveerd, zoals weergegeven in de onderstaande screenshot. Wanneer je de pagina opnieuw bezoekt, wordt deze melding niet meer weergegeven.
Maak je geen gebruik van onze nameservers?
DNSSEC wordt automatisch uitgeschakeld als je naar externe nameservers wijzigt. De melding in de onderstaande screenshot wordt dan weergegeven in het one.com Configuratiescherm onder "DNS-instellingen" > "Nameserver" > "DNSSEC". Wanneer DNSSEC via de externe DNS-provider is ingeschakeld en daar is geactiveerd, moet je handmatig DS-records bij ons toevoegen.
DS-records toevoegen
DS-records (Delegation Signer) zijn een essentieel onderdeel van DNSSEC. Hiermee kun je vertrouwen delegeren van een bovenliggende zone naar een onderliggende zone, ook wel een 'chain of trust' genoemd. Het DS-record wordt gebruikt om de authenticiteit van onderliggende zones te controleren. DS-records worden automatisch geconfigureerd wanneer het domein de nameservers van one.com gebruikt.
Wanneer de nameservers van one.com niet worden gebruikt, voeg je DS records handmatig toe via het one.com Configuratiescherm. Je kunt de 4 waarden die nodig zijn, KeyTag, Algoritme, Digest type en Digest, van de nameserverprovider opvragen of via een generator verkrijgen. Volg daarna deze stappen om de DS-record aan te maken:
- Log in op het one.com configuratiescherm.
- Op de tegel Geavanceerde instellingen, klik je op DNS-instellingen.
- Klik op het tabblad Nameservers.
- Klik in het Nameserver beheer op het tabblad DS-Records.
- Voer de waarde in de 4 afzonderlijke velden in voor KeyTag, Algoritme, Digest type en Digest
- Klik op Opslaan.
- Het begint nu met het laden van de bestaande DNS-records. Een groene balk met een succesbericht wordt zichtbaar als het succesvol is toegevoegd.
Opmerking: Het toevoegen van onjuiste DNS-records kan downtime van de website veroorzaken. Je bent van harte welkom om contact op te nemen met onze support voor hulp als je niet zeker bent over iets in de DNS-instellingen.
Gerelateerde artikelen: