Wat is DNSSEC?

DNSSEC is een uitbreiding op het Domain Name System (DNS). DNSSEC verhelpt een aantal kwetsbaarheden in DNS waardoor de 'bewegwijzering' van het internet veiliger en vertrouwder wordt.

Op DNSSEC.nl vindt u alle (technische) informatie over DNSSEC die u nodig heeft om uw domeinnamen beter te beveiligen.

 

Laatste nieuws

Meer nieuws >

Getdns software library genomineerd voor ISOC.nl Innovatie Award

12/02/2018 - 

De DNS library getdns genomineerd voor de ISOC.nl Innovatie Award 2018, maar heeft deze prijs uiteindelijk toch niet gewonnen. Afgelopen januari werd de Award toegekend aan Let's Connect (eduVPN), open source software om een VPN-infrastructuur op te zetten.

Getdns

Getdns is een asynchrone DNS-resolver (library) die de applicatieprogrammeur alle zorgen en complexiteit rondom domain name resolving uit handen neemt. Naast DNSSEC (validatie) worden bijvoorbeeld ook DNSSEC Roadblock Avoidance (RFC 8027) en DNS over TLS (RFC 7858; DNS Privacy) ondersteund. De code zelf is geschreven in de programmeertaal C, maar er zijn ook bindings (wrappers) voor Python (pygetdns) en nodejs beschikbaar. Voor bestaande software kan de getdns stub resolver Stubby als externe systeemcomponent ingezet worden.

Lees verder...

PowerDNS Recursor versie 4.1 gepubliceerd, upgrade aangeraden

12/02/2018 - 

Net voor de jaarwisseling is versie 4.1 van de PowerDNS Recursor uitgebracht. Dat is ruim een jaar na de publicatie van versie 4.0, de eerste Recursor die ook DNSSEC-validatie deed.

In die tussentijd hebben de ontwikkelaars — samen met grote gebruikers — gewerkt aan de performance en inzetbaarheid van de software. De nieuwe versie is sneller (zowel in doorvoer als in responsetijd), robuuster en schaalbaarder. Daarmee is PowerDNS Recursor volgens de makers klaar voor het zware werk in grote productie-omgevingen.

Lees verder...

Interessante Case Studies

< vorige | volgende >

Hands-on: DNSSEC-validatie op BIND named

Hands-on: DNSSEC-validatie op BIND named

BIND named, de meest gebruikte DNS-server, kan fungeren als (autoritatieve) name-server en/of (caching) resolver. In dit artikel bespreken we de configuratie van named als DNSSEC-validerende resolver. De ondertekening van een zone op een autoritatieve name-server wordt in een ander artikel behandeld.

Juist omdat er al zo veel bestaande BIND-implementaties zijn — sommige draaien al jarenlang — hebben we bij alle features zo veel mogelijk de versienummers gegeven waarbij de betreffende optie in de software beschikbaar is gemaakt. Desondanks raden we aan om een zo'n recent mogelijke versie van BIND te gebruiken, al was het alleen maar omdat in de tussentijd natuurlijk ook bugs en security-problemen uit de software zijn gehaald.

Nog vier weken tot de root KSK roll-over: check je DNSSEC trust anchors!

Nog vier weken tot de root KSK roll-over: check je DNSSEC trust anchors!

Validerende resolvers die RFC 5011 ondersteunen zouden inmiddels de nieuwe publieke root KSK-sleutel als trust anchor geïnstalleerd en geactiveerd moeten hebben. Gebruik je nog software die RFC 5011 niet ondersteunt en je hebt het nieuwe trust anchor nog niet handmatig geïnstalleerd, dan wordt het de hoogste tijd om dat alsnog te doen. Vanaf 11 oktober zijn namelijk alle internetdomeinen onbereikbaar voor gebruikers van resolvers die niet van het nieuwe trust anchor zijn voorzien.

In dit artikel laten we zien hoe je de beschikbaarheid van het nieuwe trust anchor kunt controleren.

Automatische installatie nieuwe DNSSEC trust anchor

Automatische installatie nieuwe DNSSEC trust anchor

De meeste software voor DNSSEC-validerende resolvers ondersteunt inmiddels RFC 5011. Dat betekent dat deze resolvers in staat zijn om automatisch de nieuwe publieke root KSK-sleutel als trust anchor te installeren.

Hoewel RFC 5011 ontwikkeld is om (root) KSK roll-overs zonder tussenkomst van de systeembeheerder te laten verlopen, is het belangrijk om te controleren of de huidige installatie/configuratie van je resolvers inderdaad de automatische installatie van het nieuwe trust anchor ondersteunt. Is een validerende resolver uiterlijk op 11 oktober 2017 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar.

In een eerder artikel beschreven we de verschillende manieren waarop beheerders van validerende resolvers het nieuwe trust anchor op hun systemen kunnen installeren, gevolgd door specifieke informatie voor verschillende resolver software-pakketten.

In dit artikel bespreken we RFC 5011 en geven we een overzicht van de ondersteuning door de meest gebruikte resolvers. In een follow-up artikel laten we zien hoe je de goede werking van het nieuwe trust anchor kunt testen.