Wat is DNSSEC

one.com ondersteunt DNSSEC, de beveiligingsuitbreidingen voor het Domain Name System. Deze functie staat standaard ingeschakeld en wordt geactiveerd wanneer je de naamservers van one.com gebruikt. In dit artikel leggen we je meer uit over DNSSEC.

Om DNSSEC te begrijpen, is het handig om de basisprincipes van DNS (Domain Name System) te kennen. Als je je kennis even wilt opfrissen, kun je onze gids bekijken: What is DNS?

• Wat is DNSSEC
• Wat beschermt DNSSEC?
• DNSSEC beheren
• Hoe controleer je of DNSSEC werkt
• Je gebruikt onze naamservers niet > DS-records

Nieuwe update voor het one.com-configuratiescherm

Door de invoering van het nieuwe ontwerp van ons Configuratiescherm kunnen sommige stappen of schermafbeeldingen in deze handleiding er anders uitzien dan wat je nu ziet. Terwijl we aan updates werken, kun je de onderstaande handleiding raadplegen als de instructies niet overeenkomen met wat je op je scherm ziet:

Navigating: het nieuwe ontwerp van het one.com-configuratiescherm

Wat is DNSSEC

DNS op zich is niet veilig. Om de veiligheid te vergroten, is DNSSEC ontwikkeld. Dit is een reeks uitbreidingen die een extra beveiligingslaag aan de DNS-zone toevoegen door deze digitaal te ondertekenen. Als een domeinnaam DNSSEC gebruikt, worden de DNS-records voorzien van cryptografische handtekeningen (beveiligingssleutels).

Deze handtekeningen worden door de DNS-resolvers geverifieerd, zodat je zeker weet dat de DNS-gegevens van de juiste DNS-server komen. Zo kan het record niet worden gewijzigd of vervalst en is er tijdens het transport niet mee geknoeid. Dit zorgt voor een veilige manier om toegang te krijgen tot je website en online diensten.

Wat beschermt DNSSEC?

DNS is kwetsbaar voor allerlei soorten DNS-aanvallen, zoals DNS-spoofing, -hijacking en -cachepoisoning. Deze aanvallen kunnen ernstige gevolgen hebben, zoals het omleiden van gebruikers naar kwaadaardige of frauduleuze websites, het stelen van gevoelige informatie of het verstoren van de normale werking van het internet.

Met DNSSEC ondertekende domeinen garanderen de authenticiteit en integriteit van de DNS-gegevens die tussen ondertekende zones worden uitgewisseld. Dit verhoogt de betrouwbaarheid en verbetert de algehele beveiliging van de DNS-infrastructuur binnen een bepaalde zone.

De DNS-gegevens zijn niet versleuteld en bieden geen bescherming van je privacy. TLS/SSL versleutelt wel de gegevens die tussen clients en servers worden uitgewisseld om verschillende internetprotocollen te beveiligen, zoals surfen op het web (HTTPS) en e-mail (SMTP, IMAP). Een SSL-certificaat biedt daarentegen geen bescherming tegen spoofing, terwijl DNSSEC dat wel doet. Lees meer over SSL in onze artikelen in de rubriek this'.

 

Tip: Als je meer wilt weten over wat DNSSEC is en waarom het belangrijk is, lees dan dit artikel this, van ICANN 

DNSSEC beheren

DNSSEC is standaard ingeschakeld en geactiveerd bij gebruik van de nameservers van one.com. Als je wilt deactiveren, volg je deze stappen:

1. Log in op het one.com Configuratiescherm.
2. Selecteer 'DNS-instellingen' op de tegel 'Geavanceerde instellingen'.
3. Klik op het tabblad Naamservers.
4. Klik in je naamserverbeheer op het tabblad DNSSEC.
5. Klik op de knop Deactiveer .

Hoe controleer je of DNSSEC werkt

Je kunt een webgebaseerde validatietool gebruiken om te controleren of de DNSSEC-configuratie werkt voor een domein. We hebben er hieronder twee op een rijtje gezet. Deze controleren of de DNS-records van het domein correct zijn ondertekend en kunnen worden geverifieerd door DNS-resolvers; ze bieden ook een rapport over eventuele problemen of fouten.

• - Biedt een visuele weergave. Je zou alleen "Secure" in de linkerkolom moeten zien.
   
• DNSSEC-Analyzer.VeriSignLabs.com - Biedt gedetailleerde informatie. Je zou alleen groene vinkjes moeten zien.

Heb je DNSSEC geactiveerd via het one.com-configuratiescherm? Dan kan de verificatie tot 24 uur duren. Als de activering is gelukt, zie je een groene balk met een succesmelding, zoals te zien is op de onderstaande schermafbeelding. Als je de pagina opnieuw bezoekt, wordt deze melding niet meer weergegeven.



 

Gebruik je onze naamservers niet?

DNSSEC wordt automatisch uitgeschakeld als je overschakelt naar externe naamservers. De melding in de onderstaande schermafbeelding wordt dan weergegeven in het one.com-configuratiescherm onder "DNS-instellingen" > "Naamservers" > "DNSSEC". Wanneer DNSSEC via je externe DNS-provider is ingeschakeld en daar is geactiveerd, moet je de DS-records handmatig bij ons toevoegen. 

DS-records toevoegen

DS-records (Delegation Signer) vormen een essentieel onderdeel van DNSSEC. Hiermee kun je vertrouwen delegeren van een bovenliggende zone naar een onderliggende zone, ook wel een ‘vertrouwensketen’ genoemd. Het DS-record wordt gebruikt om de authenticiteit van onderliggende zones te verifiëren. DS-records worden automatisch geconfigureerd wanneer het domein gebruikmaakt van de naamservers van one.com.

Als je de naamservers van one.com niet gebruikt, voeg je DS-records handmatig toe via het one.com-configuratiescherm. Je kunt de 4 benodigde waarden – KeyTag, Algorithm, Digest type en Digest – opvragen bij je naamserverprovider of via een generator. Volg daarna deze stappen om het DS-record aan te maken:

1. Log in op het one.com Configuratiescherm.
2. Selecteer 'DNS-instellingen' op de tegel 'Geavanceerde instellingen'.
3. Klik op het tabblad Naamservers.
4. Klik in je naamserverbeheer op het tabblad DS-records.
5. Voer de waarde in de 4 afzonderlijke velden in voor KeyTag, Algoritme, Digest type en Digest
6. Klik op Opslaan.
7. Het begint nu met het laden van de bestaande DNS-records. Een groene balk met een succesbericht wordt zichtbaar als het succesvol is toegevoegd.

Opmerking: Het toevoegen van onjuiste DNS-records kan downtime van de website veroorzaken. Je bent van harte welkom om contact op te nemen met onze support voor hulp als je niet zeker bent over iets in de DNS-instellingen.

Gerelateerde artikelen:

• What is DNS?
• DNS-instellingen beheert