DNSSEC (Domain Name System Security Extensions) is een extra beveiligingslaag voor DNS-verificatie. Gebruikt een domeinnaam DNSSEC? Dan worden de DNS-records van deze domeinnaam voorzien van een digitale handtekening. Hiermee wordt het hackers onmogelijk gemaakt om bezoekers naar een andere server te leiden.
Hoe werkt DNSSEC?
De technische werking van DNSSEC is als volgt:
- DNS-records worden ondertekend met een public en private 'Zone Signing Key' (ZSK).
- Een 'Key Signing Key' (KSK) controleert de ZSK op geldigheid. Hiermee vindt een tweede ondertekening plaats, zodat er niet met de ZSK kan worden gerommeld.
- Zowel de public ZSK als de public KSK worden ondertekend met de private KSK. Zo valideert de public KSK de public ZSK.
Het internet bestaat uit meer dan 1 zone. Voor een beveiligde DNSSEC-integratie is daarom een 'chain of trust' nodig. DNSSEC waarborgt dit met een 'delegation signer' (DS)-record. Hiermee wordt de vertrouwde ondertekening overgedragen van de 'parent zone' naar een 'child zone'.
Het DS-record toont aan DNS-vertalers ('resolvers') dat de child zones gebruikmaken van DNSSEC. Om te valideren dat de ondertekening van de child zone betrouwbaar is, versleutelt de DNS-vertaler de KSK van de child zone. Deze vergelijkt hij met het DS-record van de parent zone. Wanneer deze overeenkomen, bevestigt de resolver dat er tussentijds niet geknoeid is met de waardes.
Het verschil tussen https en DNSSEC
Https zorgt voor een versleutelde websiteverbinding met behulp van encryptie. DNSSEC zorgt voor het ondertekenen van DNS-records, zodat valse waardes worden tegengehouden. Ook wanneer je website beveiligd is met SSL (https), kunnen bezoekers door hackers worden omgeleid via het DNS. Een SSL-certificaat biedt dus geen bescherming tegen spoofing, en DNSSEC wel.
DNSSEC bij Hostnet
-
.nl, .be, .eu, .uk, .nu, .se en .co.nl
Heb je een .nl, .be, .eu, .uk, .nu, .se of .co.nl domeinnaam bij Hostnet? Dan gebruik je standaard DNSSEC. Ga verder naar DNSSEC beheren om te lezen hoe je DNSSEC beheert. -
.com, .store, .online, .info, .net en .org
Heb je een .com, .store, .online, .info, .net of .org domeinnaam? Dan kun je DNSSEC zelf inschakelen via Mijn Hostnet via de stappen hieronder.
DNSSEC inschakelen
- Log in op Mijn Hostnet.
- Ga naar 'Diensten'.
- Klik op de domeinnaam waarvoor je DNSSEC wilt beheren.
- Kies onder 'Beheer je dienst' voor 'DNSSEC beheren'.
- Selecteer onder 'DNSSEC-instellingen' de optie 'Inschakelen'.
DNSSEC uitschakelen
- Log in op Mijn Hostnet.
- Ga naar 'Diensten'.
- Klik op de domeinnaam waarvoor je DNSSEC wilt beheren.
- Kies onder 'Beheer je dienst' voor 'DNSSEC beheren'.
- Selecteer onder 'DNSSEC-instellingen' de optie 'Uitschakelen'.
DNSSEC beheren
DNSSEC ingeschakeld? Mooi! Als de nameservers van je domeinnaam bij Hostnet staan, hoef je nu niets meer te doen; Hostnet beheert DNSSEC voor jou. Gebruik je externe nameservers? Dan beheer je de DNSSEC-instellingen zelf via Mijn Hostnet:
- Log in op Mijn Hostnet.
- Ga naar 'Diensten'.
- Klik op de domeinnaam waarvoor je DNSSEC wilt beheren.
- Kies onder 'Beheer je dienst' voor 'DNSSEC beheren'.
- Laat ons via de knop 'Toevoegen' weten welke DNSSEC-records wij mogen instellen. Deze records vraag je op bij de partij die jouw nameservers beheert.
- Klik op 'Opslaan'. De records worden nu ingesteld.