Wat is DNSSEC en hoe werkt het | dnssec activeren

In dit artikel:
Wat is DNSSEC?
Wat zijn de voordelen van DNSSEC?
Hoe werkt DNSSEC?
Welke sleutels gebruikt DNSSEC?
Hoe ziet een DS-record er uit?
Hoe kan ik DNSSEC inschakelen?

 

Wat is DNSSEC?


Om DNSSEC te begrijpen, is eerst basiskennis nodig van hoe het DNS-systeem werkt.

De DNS wordt gebruikt om domeinnamen (zoals voorbeeld.nl) te vertalen naar numerieke internetadressen (zoals 198.160.0.1).

Hoewel dit adressysteem zeer efficiënt is voor computers om de gegevens te lezen en te verwerken, is het voor mensen buitengewoon moeilijk te onthouden. Laten we zeggen dat elke keer dat je een website wilt bekijken, je het IP-adres moet onthouden van de machine waarop deze zich bevindt. Mensen noemen het DNS-systeem ook wel het "telefoonboek van internet".

Om dit probleem op te lossen werd aan elke domeinnaam een ​​numeriek IP-adres gekoppeld. De websiteadressen die we kennen zijn eigenlijk domeinnamen.

Domeinnaaminformatie wordt opgeslagen en geopend op speciale servers, ook wel nameservers genoemd, die domeinnamen omzetten in IP-adressen en vice versa.

Het hoogste niveau van de DNS bevindt zich in de rootzone waar alle IP-adressen en domeinnamen in databases worden bewaard en gesorteerd op Top Level Domain (TLD), zoals .com, .net, .org, enz.

Toen de DNS voor het eerst werd geïmplementeerd, was deze niet beveiligd en al snel na ingebruikname werden verschillende kwetsbaarheden ontdekt. Als gevolg hiervan is een beveiligingssysteem ontwikkeld in de vorm van extensies die kunnen worden toegevoegd aan de bestaande DNS-protocollen.

Domain name system security extensions (DNSSEC) zijn een reeks protocollen die een beveiligingslaag toevoegen aan de opzoek- en uitwisselingsprocessen van het domeinnaamsysteem (DNS), die een integraal onderdeel zijn geworden van de toegang tot websites via internet.

 

Wat zijn de voordelen van DNSSEC?


DNSSEC is gericht op het versterken van het vertrouwen in internet door gebruikers te helpen beschermen tegen omleidingen naar frauduleuze websites en onbedoelde adressen. Op deze manier kunnen kwaadaardige activiteiten zoals cache-vergiftiging, pharming en man-in-the-middle-aanvallen worden voorkomen.

DNSSEC authenticeert de gevonden IP-adressen met een cryptografische handtekening, om er zeker van te zijn dat de antwoorden van de DNS-server geldig en authentiek zijn. Als DNSSEC correct is ingeschakeld voor je domeinnaam, kunnen de bezoekers er zeker van zijn dat ze verbinding maken met de daadwerkelijke website die overeenkomt met een bepaalde domeinnaam.

 

Hoe werkt DNSSEC?


Het oorspronkelijke doel van DNSSEC was om internetklanten te beschermen tegen valse DNS-gegevens door digitale handtekeningen te verifiëren die in de gegevens zijn ingebed.

Wanneer een bezoeker de domeinnaam in een browser invoert, verifieert de resolver de digitale handtekening.

Als de digitale handtekeningen in de gegevens overeenkomen met de handtekeningen die zijn opgeslagen op de master-DNS-servers, krijgen de gegevens toegang tot de clientcomputer die het verzoek doet.

De digitale handtekening van DNSSEC zorgt ervoor dat je communiceert met de site of internetlocatie die je wilt bezoeken.

DNSSEC gebruikt een systeem van openbare sleutels en digitale handtekeningen om gegevens te verifiëren. Het voegt eenvoudig nieuwe records toe aan DNS naast bestaande records. Deze nieuwe recordtypen, zoals RRSIG en DNSKEY, kunnen op dezelfde manier worden opgehaald als gangbare records zoals A, CNAME en MX.

Deze nieuwe records worden gebruikt om een ​​domein digitaal te "ondertekenen", met behulp van een methode die bekend staat als cryptografie met openbare sleutels.

Een ondertekende nameserver heeft voor elke zone een publieke en een private sleutel. Wanneer iemand een verzoek doet, stuurt het informatie ondertekend met zijn privésleutel; de ontvanger ontgrendelt het vervolgens met de openbare sleutel. Als een derde partij onbetrouwbare informatie probeert te verzenden, wordt deze niet goed ontgrendeld met de openbare sleutel, zodat de ontvanger weet dat de informatie nep is.

Houd er rekening mee dat DNSSEC geen vertrouwelijkheid van gegevens biedt omdat het geen coderingsalgoritmen bevat. Het bevat alleen de sleutels die nodig zijn om DNS-gegevens te verifiëren als echt of echt niet beschikbaar.

DNSSEC biedt ook geen bescherming tegen DDoS-aanvallen.

 

Welke sleutels gebruikt DNSSEC?


Er zijn twee soorten sleutels die door DNSSEC worden gebruikt:

· De Zone Signing Key (ZSK) - wordt gebruikt om de individuele record sets binnen de zone te ondertekenen en te valideren.
· De Key Signing Key (KSK) - wordt gebruikt om de DNSKEY records in de zone te ondertekenen.

Beide sleutels worden opgeslagen als "DNSKEY"-records in de zone file.

 

Hoe ziet een DS-record er uit?


Het DS-record staat voor Delegation Signer en bevat een unieke reeks van je openbare sleutel en metagegevens over de sleutel, zoals welk algoritme het gebruikt.

Elk DS-record bestaat uit vier velden: KeyTag, Algorithm, DigestType en Digest en ziet er als volgt uit:

voorbeeld.nl. 3600 IN DS 43264 13 2 96DD52F7987FA404A7498532E444134C72A9E2D2C5EE2D2F7CC9B1BF2DB1A519 

We kunnen verschillende componenten van het DS-record opsplitsen om te zien welke informatie elk onderdeel bevat:

  • Voorbeeld.nl. - domeinnaam waar de DS voor is.
  • 3600 - TTL, de tijd dat het record in de cache mag blijven.
  • IN - staat voor internet.
  • DS - staat voor Delegation Signer.
  • 43264 - Key Tag, ID van de sleutel.
  • 13 - algoritmetype. Elk toegestane algoritme in DNSSEC heeft een gespecificeerd nummer. Algoritme 13 is ECDSA met een P-256-curve die SHA-256 gebruikt.
  • 2 - Digest Type, of de hash-functie die is gebruikt om de samenvatting van de openbare sleutel te genereren.
  • De lange code aan het einde is de Digest, of de hash van de openbare sleutel.

Alle DS-records moeten voldoen aan RFC 3658.

 

Hoe kan ik DNSSEC inschakelen?


Wil je graag DNSSEC voor je domeinnaam inschakelen? Log dan in op het VoordeelHoster klantenpaneel en maak een support ticket aan met je verzoek, vermeld in je ticket de domeinnaam waar het om gaat. Het kan een paar uur duren voordat de DNSSEC volledig geactiveerd is!

Je kunt hierna de DNSSEC Debugger gebruiken om erachter te komen of de DNSSEC goed werkt. Vul je domeinnaam in en de debugger kijkt of de DNSSEC in orde is.

Let op! Door het wijzigen van de nameservers zal de DNSSEC ongeldig worden. Vraag in dit geval heractivatie aan.

  • 31 gebruikers vonden dit artikel nuttig
Was dit antwoord nuttig?

Gerelateerde artikelen

Domein redirect in DirectAdmin | doorverwijzing

Wil je een domeinnaam doorverwijzen naar een ander domein of een exacte url doorsturen met een...

Hoe kan ik een subdomein maken?

De meesten onder ons weten wat een domeinnaam is, niet iedereen weet echter wat een subdomein is...

Een domeinnaam aan je hostingpakket toevoegen

Soms wil je meer dan 1 domeinnaam aan je hostingpakket toevoegen. Dit kan zijn omdat je meerdere...

Gratis SSL Lets Encrypt inschakelen voor je domein

Wanneer je een domeinnaam registreert bij VoordeelHoster heb je de optie om gratis SSL Lets...

Subdomein als volwaardige domeinnaam toevoegen

Soms wil je een subdomein als volwaardige domeinnaam instellen, bijvoorbeeld voor een blog of...