Wat is DNSSEC?

DNSSEC is een uitbreiding op het Domain Name System (DNS). DNSSEC verhelpt een aantal kwetsbaarheden in DNS waardoor de 'bewegwijzering' van het internet veiliger en vertrouwder wordt.

Op DNSSEC.nl vindt u alle (technische) informatie over DNSSEC die u nodig heeft om uw domeinnamen beter te beveiligen.

 

Laatste nieuws

Meer nieuws >

DNSSEC-adoptie bij overheden stagneert, ondanks verplichtingen en beloften

28/11/2017 - 

De groei in de toepassing van DNSSEC op Nederlandse overheidssites is snel afgenomen, zo blijkt uit de laatste 'meting Informatieveiligheidsstandaarden' van Forum Standaardisatie. In een jaar tijd is de adoptie gegroeid van 44 naar 66 procent (in juli 2017). Halverwege die periode stond de teller echter al op 61 procent. Daarmee doet DNSSEC het van alle zes gemeten standaarden nu het slechtst.

Lees verder...

Nieuwe DANE SMTP checker voor mail

28/11/2017 - 

Met de onlangs gepubliceerde DANE SMTP checker kan de hele vertrouwensketen van DANE voor mail worden gevalideerd. De tool voert daartoe de volgende stappen uit:

  1. controleer of DNSSEC-validatie op de gebruikte resolver aan staat
  2. controleer of het te testen mail-domein met DNSSEC is ondertekend
  3. controleer of alle MX gateways van een TLSA record zijn voorzien, en dat deze records overeenkomen met de TLS-certificaten op de betreffende servers
  4. controleer de geldigheid van de certificaat-keten voor een specifiek tijdstip in de toekomst.

De DANE SMTP checker is ontwikkeld door Viktor Dukhovni en als open source op GitHub gepubliceerd onder een eigen licentie. De tool is een alternatief/aanvulling op de e-mail test op Internet.nl en de meer generieke GnuTLS DANE tool.

Interessante Case Studies

< vorige | volgende >

Hands-on: DNSSEC-validatie op BIND named

Hands-on: DNSSEC-validatie op BIND named

BIND named, de meest gebruikte DNS-server, kan fungeren als (autoritatieve) name-server en/of (caching) resolver. In dit artikel bespreken we de configuratie van named als DNSSEC-validerende resolver. De ondertekening van een zone op een autoritatieve name-server wordt in een ander artikel behandeld.

Juist omdat er al zo veel bestaande BIND-implementaties zijn — sommige draaien al jarenlang — hebben we bij alle features zo veel mogelijk de versienummers gegeven waarbij de betreffende optie in de software beschikbaar is gemaakt. Desondanks raden we aan om een zo'n recent mogelijke versie van BIND te gebruiken, al was het alleen maar omdat in de tussentijd natuurlijk ook bugs en security-problemen uit de software zijn gehaald.

Nog vier weken tot de root KSK roll-over: check je DNSSEC trust anchors!

Nog vier weken tot de root KSK roll-over: check je DNSSEC trust anchors!

Validerende resolvers die RFC 5011 ondersteunen zouden inmiddels de nieuwe publieke root KSK-sleutel als trust anchor geïnstalleerd en geactiveerd moeten hebben. Gebruik je nog software die RFC 5011 niet ondersteunt en je hebt het nieuwe trust anchor nog niet handmatig geïnstalleerd, dan wordt het de hoogste tijd om dat alsnog te doen. Vanaf 11 oktober zijn namelijk alle internetdomeinen onbereikbaar voor gebruikers van resolvers die niet van het nieuwe trust anchor zijn voorzien.

In dit artikel laten we zien hoe je de beschikbaarheid van het nieuwe trust anchor kunt controleren.

Automatische installatie nieuwe DNSSEC trust anchor

Automatische installatie nieuwe DNSSEC trust anchor

De meeste software voor DNSSEC-validerende resolvers ondersteunt inmiddels RFC 5011. Dat betekent dat deze resolvers in staat zijn om automatisch de nieuwe publieke root KSK-sleutel als trust anchor te installeren.

Hoewel RFC 5011 ontwikkeld is om (root) KSK roll-overs zonder tussenkomst van de systeembeheerder te laten verlopen, is het belangrijk om te controleren of de huidige installatie/configuratie van je resolvers inderdaad de automatische installatie van het nieuwe trust anchor ondersteunt. Is een validerende resolver uiterlijk op 11 oktober 2017 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar.

In een eerder artikel beschreven we de verschillende manieren waarop beheerders van validerende resolvers het nieuwe trust anchor op hun systemen kunnen installeren, gevolgd door specifieke informatie voor verschillende resolver software-pakketten.

In dit artikel bespreken we RFC 5011 en geven we een overzicht van de ondersteuning door de meest gebruikte resolvers. In een follow-up artikel laten we zien hoe je de goede werking van het nieuwe trust anchor kunt testen.