Wat is DNSSEC?

DNSSEC is een uitbreiding op het Domain Name System (DNS). DNSSEC verhelpt een aantal kwetsbaarheden in DNS waardoor de 'bewegwijzering' van het internet veiliger en vertrouwder wordt.

Op DNSSEC.nl vindt u alle (technische) informatie over DNSSEC die u nodig heeft om uw domeinnamen beter te beveiligen.

 

Laatste nieuws

Meer nieuws >

DNSSEC-implementatie Infoblox sterk verouderd

25/08/2016 - 

Belangrijke aandachtspunten bij het aan zetten van DNSSEC

Twee jaar geleden bespraken we de configuratie van DNSSEC op de Trinzic DDI appliances van Infoblox. De belangrijkste conclusies waren dat het ondertekenen en valideren in de grafische interface erg eenvoudig aan te zetten waren — slechts een kwestie van aanklikken — maar dat de default-instellingen wel dringend verbetering nodig hadden.

Infoblox beloofde destijds bij monde van Chief Infrastructure Officer Cricket Liu om deze zaken in een volgende release aan te passen. Inmiddels zijn we echter twee jaar en een major release verder, en blijkt er helemaal niets te zijn aangepast of toegevoegd. Daarmee zitten Infoblox-klanten met een inmiddels sterk verouderd systeem.

Wie al een Infoblox-system heeft staan en DNSSEC aan wil zetten, zal bij de configuratie daarvan extra aandacht moeten besteden aan de cryptografische default-instellingen van zijn appliance.

Lees hier het volledige artikel

OpenDNSSEC 2.0.1: verbeterde upgrade vanaf versie 1.4

22/08/2016 - 

Versie 2.0.1 van OpenDNSSEC is deze zomer verschenen. De DNSSEC-software zelf is niet veranderd, alleen de upgrade vanaf versie 1.4 is makkelijker geworden.

Tools

Bestaande gebruikers wordt aangeraden hun OpenDNSSEC-software eerst naar versie 1.4.10 op te waarderen. Vervolgens kunnen zij een van de conversie-scripts in de source directory '.../enforcer/utils/' gebruiken om hun SQLite/MySQL database om te zetten. Na de installatie van de nieuwe database moet nog het commando 'ods-migrate' gerund worden om de conversie af te maken.

De ODS-database wordt alleen intern gebruikt door de Enforcer (ods-enforced), die voor versie 2.0 flink onder handen genomen is. De Signer (ods-signerd) heeft bij deze upgrade geen conversie nodig. Wel moet het interne configuratiebestand '/var/opendnssec/enforcer/zones.xml' de eerste keer handmatig geïnstalleerd worden door het oude bestand '/etc/opendnssec/zonelist.xml' te copiëren.

Zie verder de source file '.../enforcer/utils/1.4-2.0_db_convert/README.md' voor details.

Interessante Case Studies

< vorige | volgende >

DNSSEC-implementatie Infoblox sterk verouderd

DNSSEC-implementatie Infoblox sterk verouderd

Belangrijke aandachtspunten bij het aan zetten van DNSSEC

Twee jaar geleden bespraken we de configuratie van DNSSEC op de Trinzic DDI appliances van Infoblox. De belangrijkste conclusies waren dat het ondertekenen en valideren in de grafische interface erg eenvoudig aan te zetten waren — slechts een kwestie van aanklikken — maar dat de default-instellingen wel dringend verbetering nodig hadden.

Infoblox beloofde destijds bij monde van Chief Infrastructure Officer Cricket Liu om deze zaken in een volgende release aan te passen. Inmiddels zijn we echter twee jaar en een major release verder, en blijkt er helemaal niets te zijn aangepast of toegevoegd. Daarmee zitten Infoblox-klanten met een inmiddels sterk verouderd systeem.

Wie al een Infoblox-system heeft staan en DNSSEC aan wil zetten, zal bij de configuratie daarvan extra aandacht moeten besteden aan de cryptografische default-instellingen van zijn appliance.

MIDDAG voorziet .nl-domeinen van DNSSEC op basis van algoritme 13

MIDDAG voorziet .nl-domeinen van DNSSEC op basis van algoritme 13

De recentelijke ondersteuning van DNSSEC-algoritmen nummer 13 en 14 door SIDN kwam internet-dienstverlener MIDDAG heel goed uit. Begin dit jaar heeft het bedrijf het beheer van al zijn domeinnamen ondergebracht bij CDN-aanbieder CloudFlare. Omdat CloudFlare zijn sleutelmateriaal alleen beschikbaar stelt op basis van algoritme nummer 13 en SIDN dit protocol nog niet ondersteunde, was daarmee de weg naar DNSSEC geblokkeerd. Nu dat probleem is opgelost heeft MIDDAG gelijk alle 160 .nl-domeinen van DNSSEC voorzien.

Rond de jaarwisseling zijn we voor het beheer van al onze domeinen overgestapt naar CloudFlare, vertelt Vic D'Elfant, software architect en eigenaar van MIDDAG. We hebben toen contact opgenomen met SIDN en gevraagd of zij algoritme nummer 13 konden ondersteunen. Toen we van hen hoorden dat deze mogelijkheid in de volgende release van DRS zou zitten, hebben we dat even afgewacht.

DNSSEC timing: absolute, relatieve en administratieve tijdsaanduidingen

DNSSEC timing: absolute, relatieve en administratieve tijdsaanduidingen

DNSSEC heeft de wereld van de DNS operator op twee belangrijke punten veranderd. Ten eerste is DNS hiermee van een voornamelijk administratief systeem geëvolueerd tot een aanzienlijk complexer cryptografisch platform dat voor een heleboel nieuwe toepassingen gebruikt kan worden. Ten tweede introduceert DNSSEC voor het eerst absolute tijden in een systeem dat voorheen alleen relatieve tijden (TTL's) kende. Bovendien interacteren deze twee verschillende timing-methoden met elkaar.

In dit artikel behandelen we de timing-aspecten van DNSSEC aan de hand van de instellingen voor OpenDNSSEC (in het bestand /etc/opendnssec/kasp.xml). Dat is de meestgebruikte DNSSEC-oplossing voor Bind named, dat op zijn beurt weer de meestgebruikte DNS-server is.