Wat is DNSSEC?

DNSSEC is een uitbreiding op het Domain Name System (DNS). DNSSEC verhelpt een aantal kwetsbaarheden in DNS waardoor de 'bewegwijzering' van het internet veiliger en vertrouwder wordt.

Op DNSSEC.nl vindt u alle (technische) informatie over DNSSEC die u nodig heeft om uw domeinnamen beter te beveiligen.

 

Laatste nieuws

Meer nieuws >

PowerDNS Recursor versie 4 ondersteunt DNSSEC-validatie

23/09/2016 - 

Met de lancering van versie 4 ondersteunt de PowerDNS Recursor nu ook DNSSEC-validatie. De nieuwe feature is nog experimenteel, maar volgens de ontwikkelaars al goed bruikbaar. Uitgangspunt is dat we opvragingen niet ten onrechte willen weigeren, want dan worden sites en services voor eindgebruikers geblokkeerd.

Validatie door de Recursor stond al veel langer op de agenda, maar heeft moeten wachten op de doorontwikkeling van DNSSEC op de authoritatieve server van PowerDNS. Ook de bescherming tegen DDoS/amplificatie-aanvallen had de afgelopen jaren hoge prioriteit en heeft onder andere geleid tot de ontwikkeling van de dnsdist load balancer.

Juist omdat Nederland wereldwijd voorop loopt met de ondertekening van de .nl-domeinnamen maar achterblijft op de validatie bij Internet Access Providers heeft SIDN de implementatie van validatie op de Recursor financieel ondersteund. Om diezelfde reden werkt de registry ook aan een eigen (validerende) DNS-service, vergelijkbaar met Google Public DNS en OpenDNS (inmiddels onderdeel van Cisco).

Lees verder...

Greenhost gebruikt KNOT voor ondertekening tienduizend domeinen

12/09/2016 - 

Deze zomer heeft hosting provider Greenhost DNSSEC op zijn name servers geïmplementeerd. In totaal heeft het bedrijf circa tienduizend domeinnamen onder zijn hoede, waarvan er zo'n zesduizend onder .nl vallen. Inmiddels zijn 9500 domeinnamen ondertekend, voor alle top-level domeinen waarvoor DNSSEC beschikbaar is. Greenhost is daarvoor van BIND named overgestapt naar de KNOT DNS-server.

Greenhost richt zich van origine op duurzaamheid, vertelt CTO en eigenaar Mart van Santen. Niet veel later zijn daar digitale privacy en burgerrechten bij gekomen. Vandaar dat wij relatief veel stichtingen, activisten en journalisten als klant hebben. Denk aan Article 19 en Free Press Unlimited. In die context zijn we bewust bezig met de veiligheid en privacy van onze klanten. Zij vragen dan ook geregeld naar specifieke diensten als IPv6, DANE en Let's Encrypt. Wat dat betreft verwachten zij meer van ons dan bij de gemiddelde hoster. Zo werken wij nu aan de implementatie van Let's Encrypt voor alle domeinen. Deze dienst staat gepland voor lancering deze herfst.

Lees hier het volledige artikel

Interessante Case Studies

< vorige | volgende >

Greenhost gebruikt KNOT voor ondertekening tienduizend domeinen

Greenhost gebruikt KNOT voor ondertekening tienduizend domeinen

Deze zomer heeft hosting provider Greenhost DNSSEC op zijn name servers geïmplementeerd. In totaal heeft het bedrijf circa tienduizend domeinnamen onder zijn hoede, waarvan er zo'n zesduizend onder .nl vallen. Inmiddels zijn 9500 domeinnamen ondertekend, voor alle top-level domeinen waarvoor DNSSEC beschikbaar is. Greenhost is daarvoor van BIND named overgestapt naar de KNOT DNS-server.

Greenhost richt zich van origine op duurzaamheid, vertelt CTO en eigenaar Mart van Santen. Niet veel later zijn daar digitale privacy en burgerrechten bij gekomen. Vandaar dat wij relatief veel stichtingen, activisten en journalisten als klant hebben. Denk aan Article 19 en Free Press Unlimited. In die context zijn we bewust bezig met de veiligheid en privacy van onze klanten. Zij vragen dan ook geregeld naar specifieke diensten als IPv6, DANE en Let's Encrypt. Wat dat betreft verwachten zij meer van ons dan bij de gemiddelde hoster. Zo werken wij nu aan de implementatie van Let's Encrypt voor alle domeinen. Deze dienst staat gepland voor lancering deze herfst.

DNSSEC-implementatie Infoblox sterk verouderd

DNSSEC-implementatie Infoblox sterk verouderd

Belangrijke aandachtspunten bij het aan zetten van DNSSEC

Twee jaar geleden bespraken we de configuratie van DNSSEC op de Trinzic DDI appliances van Infoblox. De belangrijkste conclusies waren dat het ondertekenen en valideren in de grafische interface erg eenvoudig aan te zetten waren — slechts een kwestie van aanklikken — maar dat de default-instellingen wel dringend verbetering nodig hadden.

Infoblox beloofde destijds bij monde van Chief Infrastructure Officer Cricket Liu om deze zaken in een volgende release aan te passen. Inmiddels zijn we echter twee jaar en een major release verder, en blijkt er helemaal niets te zijn aangepast of toegevoegd. Daarmee zitten Infoblox-klanten met een inmiddels sterk verouderd systeem.

Wie al een Infoblox-system heeft staan en DNSSEC aan wil zetten, zal bij de configuratie daarvan extra aandacht moeten besteden aan de cryptografische default-instellingen van zijn appliance.

MIDDAG voorziet .nl-domeinen van DNSSEC op basis van algoritme 13

MIDDAG voorziet .nl-domeinen van DNSSEC op basis van algoritme 13

De recentelijke ondersteuning van DNSSEC-algoritmen nummer 13 en 14 door SIDN kwam internet-dienstverlener MIDDAG heel goed uit. Begin dit jaar heeft het bedrijf het beheer van al zijn domeinnamen ondergebracht bij CDN-aanbieder CloudFlare. Omdat CloudFlare zijn sleutelmateriaal alleen beschikbaar stelt op basis van algoritme nummer 13 en SIDN dit protocol nog niet ondersteunde, was daarmee de weg naar DNSSEC geblokkeerd. Nu dat probleem is opgelost heeft MIDDAG gelijk alle 160 .nl-domeinen van DNSSEC voorzien.

Rond de jaarwisseling zijn we voor het beheer van al onze domeinen overgestapt naar CloudFlare, vertelt Vic D'Elfant, software architect en eigenaar van MIDDAG. We hebben toen contact opgenomen met SIDN en gevraagd of zij algoritme nummer 13 konden ondersteunen. Toen we van hen hoorden dat deze mogelijkheid in de volgende release van DRS zou zitten, hebben we dat even afgewacht.