DNSSEC

Wat is DNSSEC?

Met DNSSEC worden antwoorden uit het DNS-systeem cryptografisch ondertekend waarmee het onmogelijk moet worden om deze antwoorden 'stiekem' aan te passen. Hierdoor wordt de zogenaamde man-in-the-middle aanvalsmethodiek op het niveau van DNS onmogelijk gemaakt. Uitgebreide informatie over DNSSEC kunt u elders op deze website vinden.

Meer informatie over DNSSEC

Ondersteunt NederHost DNSSEC?

Ja, DNSSEC wordt volledig ondersteund:

  • Als u gebruik maakt van de NederHost-nameservers dan wordt uw zone standaard automatisch door nederHost ondertekend. U hoeft hier verder niets voor te doen of in te stellen.
  • Mits ondersteund voor de betreffende extensie worden door NederHost tevens de benodigde DS-records ingesteld. U kunt ook DS-records voor uw eigen naemservers laten opnemen.
  • Als u uw nameservers in eigen beheer draait en gebruik maakt van NederHost als secundaire nameserver dan kunt u ook DNSSEC op de gebruikelijke manier configureren. Aanwezige DNSKEY, RRSIG, NSEC en NSEC3-records worden keurig overgenomen en aan clients die daarom verzoeken meegestuurd.

Voor het inschakelen van DNSSEC worden geen kosten in rekening gebracht.

Het instellen van DS-records is mogelijk voor domeinnamen onder de volgende top level domains: .be, .com, .de, .net, .nl, .org, .se, en .uk.

Worden er kosten in rekening gebracht voor DNSSEC?

Nee, het gebruik van DNSSEC is gratis, ongeacht of u gebruik maakt van de NederHost-nameservers of uw eigen nameservers. NederHost moedigt het gebruik van DNSSEC aan en wordt hierin gesteund door o.a. de .nl-registry. Sinds december 2012 wordt DNSSEC standaard ingeschakeld op iedere domeinnaam, u hoeft hier dus niets voor te doen.

Hoe wijzig ik de DNSSEC-instellingen van mijn domeinnaam?

U kunt de DNSSEC-instellingen van uw domeinnaam wijzigen via Mijn NederHost, mits u het tonen van de 'expert'-instellingen daar heeft ingeschakeld. Zie voor meer informatie het helpdeskartikel over DNSSEC.

Hoe voer ik een secure verhuizing uit?

Standaard wordt bij het wijzigen van de nameservers van uw domeinnaam gekozen voor een 'insecure rollover', wat betekent dat de DNSSEC-beveiliging tijdelijk wordt opgeheven. Dit is over het algemeen niet bezwaarlijk en zeker te prefereren boven een 'bogus' zone die niet valideert. Als u de domeinnaam wilt verhuizen zonder dat de DNSSEC-beveiliging tijdelijk wordt opgeheven dan is dat mogelijk, mits de beheerder van uw huidige nameservers hieraan meewerkt.

Standaard wordt uw domeinnaam bij verhuizing zo gewijzigd dat de nameservers van NederHost direct worden ingesteld. Om een secure verhuizing uit te voeren is het echter noodzakelijk de nameserverwijziging pas na de verhuizing in te stellen. Bij het afronden van uw bestelling doet u daarom het volgende:

  • Kies op het laatste scherm in het blok 'Nameservers' voor 'Wijzigen'.
  • Kies de optie 'Laat de nameservers en DNSSEC-instellingen van de te verhuizen domeinnamen ongewijzigd' en klik op Volgende.

Bij het verhuizen van uw domeinnaam blijven de nameservers nu in eerste instantie ongewijzigd. Zodra uw domeinnaam actief is gaat u in Mijn NederHost naar de instellingen van uw domeinnaam en voert u de nameserverwijziging in. Kies bij 'Wijzigingsmethode' voor 'doorlopend secure' en klik op Opslaan. Uw wijziging wordt nu verwerkt in een 'secure rollover'.

Voor het gebruiken van een secure rollover is het nodig dat zowel de oude als de nieuwe DNSKEY-records in alle betrokken nameservers worden gepubliceerd. Zie voor meer informatie hierover ook het helpdeskartikel over DNSSEC.

Ondersteunt NederHost DANE?

Ja, mits u de expertinstellingen in Mijn NederHost heeft ingeschakeld kunt u eenvoudig TLSA-records instellen voor gebruik met DANE (DNS-based Authentication of Named Entities, beschreven in RFC 6698). Merk op dat DANE als standaard nog niet is aangenomen en ondersteuning door clientsoftware daardoor minimaal of geheel afwezig zal zijn. NederHost ondersteunt ook SSHFP-records die geen onderdeel uitmaken van DANE maar een soortgelijk doel dienen voor SSH-servers.

U kunt TLSA- en SSHFP-records instellen vanuit Mijn NederHost op één van de volgende manieren:

  • u kunt uiteraard de in te stellen records zelf opgeven,
  • u kunt voor TLSA-records een certificaat uploaden; de benodigde TLSA-records worden dan automatisch voor u uitgerekend,
  • of u laat de TLSA- of SSHFP-records helemaal automatisch instellen door alleen aan te geven op welke host en poort de betreffende dienst draait; de benodigde cryptografische gegevens worden automatisch opgehaald, geverifëerd door u en vervolgens gepubliceerd in DNS.

Door gebruik te maken van de functionaliteit om deze records automatisch in te stellen voorkomt u fouten bij het berekenen of overnemen van de (vaak zeer lange) hashes.

Hoe is DNSSEC technisch ingericht bij NederHost?

Het gebruik van DNSSEC op de NederHost-nameservers is volledig geautomatiseerd. NederHost benadrukt graag dat voor het beveiligen van uw domeinnaam op onze nameservers geen technische kennis van u wordt gevraagd; DNSSEC staat daarom standaard ingeschakeld. Voor geïnteresseerde techneuten lichten we graag de technische inrichting van DNSSEC bij NederHost kort toe.

Het ondertekenen van de records is volledig geautomatiseerd met 'live signing' door PowerDNS. De zone signing keys worden automatisch iedere drie maanden geroteerd.. De zone signing keys worden op hun beurt ondertekend door een key signing key die in principe niet wordt geroteerd (behalve in bijzondere situaties) en die dient als secure entry point. Aan de hand van het secure entry point worden DS-records gegenereerd die in bovenliggende TLD-zones kunnen worden geplaatst (mits ondersteund).

  • RRSIG-records zijn één tot twee weken geldig op het moment van uitgifte (om historische redenen steeds tot de donderdag over een week).
  • DNSKEY-records met flags 256 worden gebruikt als zone signing keys. Er zijn op ieder moment tenminste twee en hooguit drie zone signing keys aanwezig in de zone:
    • De actieve zone signing key wordt gebruikt voor het genereren van RRSIG-records.
    • De volgende zone signing key wordt nog niet gebruikt voor ondertekening maar staat wel al in de zone om zeker te zijn van een tijdige propagatie.
    • De vorige zone signing key wordt bij iedere rotatie gedurende een beperkte tijd in de zone gepubliceerd zodat ook oude RRSIG-records nog valideren. Na zestien dagen wordt de oude zone signing key automatisch uit de zone verwijderd.
  • DNSKEY-records met flags 257 worden gebruikt als key signing keys. Hiermee worden alleen de zone signing keys getekend. Bij normale productie is er één (actieve) key signing key in de zone aanwezig. Iedere zone heeft zijn eigen key signing key die alleen in bijzondere omstandigheden wordt geroteerd.
  • NederHost gebruikt algoritme 8 (RSA met SHA256-hashing) voor de sleutels. De zone signing keys zijn 1024 bits lang, de key signing keys 2048 bits.
  • NederHost gebruikt standaard NSEC3 voor ondertekende ontkenningen, op verzoek kan hiervoor ook NSEC worden gebruikt. Over het algemeen wordt NSEC3 boven NSEC geprefereerd omdat het 'zone walking' vrijwel onmogelijk maakt.