DNS-based Authentication of Named Entities (DANE)

Als een zone is beveiligd met DNSSEC dan kan van deze beveiliging gebruik worden gemaakt om bepaalde cryptografische gegevens in DNS te publiceren. Met behulp van deze gegevens is te controleren of een beveiligingscertificaat van een website of andere beveiligde dienst correct is. Dit kan op meerdere manieren gebruikt te worden: als extra zekerheid bij het gebruik van CA-certificaten of als vervangende zekerheid door zelfondertekende certificaten te valideren via de DNSSEC-keten.

De (voorgestelde) standaard DANE definieert een nieuw type DNS-record (TLSA) waarmee deze gegevens worden gepubliceerd. DANE is nog niet officieel aangenomen als standaard maar u kunt nu al via NederHost gebruikmaken van deze nieuwe DNS-records.

TLSA of SSHFP-records instellen

NederHost heeft het instellen van deze vaak wat complexe recordtypes zeer eenvoudig gemaakt. U kunt TLSA- en SSHFP-records instellen vanuit Mijn NederHost op één van de volgende manieren:

  • u kunt uiteraard de in te stellen records zelf opgeven,
  • u kunt voor TLSA-records een certificaat uploaden; de benodigde TLSA-records worden dan automatisch voor u uitgerekend,
  • als u een SSL-certificaat bij NederHost aanvraagt dan stellen we desgewenst direct de juiste TLSA-records voor u in,
  • of u laat de TLSA- of SSHFP-records helemaal automatisch instellen door alleen aan te geven op welke host en poort de betreffende dienst draait; de benodigde cryptografische gegevens worden automatisch opgehaald, geverifëerd door u en vervolgens gepubliceerd in DNS.

Door gebruik te maken van de functionaliteit om deze records automatisch in te stellen voorkomt u fouten bij het berekenen of overnemen van de (vaak zeer lange) hashes.