Wat is DNSSEC?

DNSSEC is een uitbreiding op het Domain Name System (DNS). DNSSEC verhelpt een aantal kwetsbaarheden in DNS waardoor de 'bewegwijzering' van het internet veiliger en vertrouwder wordt.

Op DNSSEC.nl vindt u alle (technische) informatie over DNSSEC die u nodig heeft om uw domeinnamen beter te beveiligen.

 

Laatste nieuws

Meer nieuws >

Automatische installatie nieuwe DNSSEC trust anchor

24/07/2017 - 

De meeste software voor DNSSEC-validerende resolvers ondersteunt inmiddels RFC 5011. Dat betekent dat deze resolvers in staat zijn om automatisch de nieuwe publieke root KSK-sleutel als trust anchor te installeren.

Hoewel RFC 5011 ontwikkeld is om (root) KSK roll-overs zonder tussenkomst van de systeembeheerder te laten verlopen, is het belangrijk om te controleren of de huidige installatie/configuratie van je resolvers inderdaad de automatische installatie van het nieuwe trust anchor ondersteunt. Is een validerende resolver uiterlijk op 11 oktober 2017 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar.

In een eerder artikel beschreven we de verschillende manieren waarop beheerders van validerende resolvers het nieuwe trust anchor op hun systemen kunnen installeren, gevolgd door specifieke informatie voor verschillende resolver software-pakketten.

In dit artikel bespreken we RFC 5011 en geven we een overzicht van de ondersteuning door de meest gebruikte resolvers. In een follow-up artikel laten we zien hoe je de goede werking van het nieuwe trust anchor kunt testen.

Lees hier het volledige artikel

Ook Belgische banken scoren heel slecht op DNSSEC-beveiliging

18/07/2017 - 

Slechts één procent van de Belgische banken heeft zijn domeinnaam met DNSSEC ondertekent. Zo blijkt uit een analyse van Domeinnaam.tips. De redactie vindt deze bevindingen zorgwekkend. Banken zouden de eerste gebruikers van DNSSEC moeten zijn. De sector is één van de vaakst gekozen doelwitten van internetcriminelen en heeft het meest last van phishing en spoofing.

Lees verder...

Interessante Case Studies

< vorige | volgende >

Automatische installatie nieuwe DNSSEC trust anchor

Automatische installatie nieuwe DNSSEC trust anchor

De meeste software voor DNSSEC-validerende resolvers ondersteunt inmiddels RFC 5011. Dat betekent dat deze resolvers in staat zijn om automatisch de nieuwe publieke root KSK-sleutel als trust anchor te installeren.

Hoewel RFC 5011 ontwikkeld is om (root) KSK roll-overs zonder tussenkomst van de systeembeheerder te laten verlopen, is het belangrijk om te controleren of de huidige installatie/configuratie van je resolvers inderdaad de automatische installatie van het nieuwe trust anchor ondersteunt. Is een validerende resolver uiterlijk op 11 oktober 2017 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar.

In een eerder artikel beschreven we de verschillende manieren waarop beheerders van validerende resolvers het nieuwe trust anchor op hun systemen kunnen installeren, gevolgd door specifieke informatie voor verschillende resolver software-pakketten.

In dit artikel bespreken we RFC 5011 en geven we een overzicht van de ondersteuning door de meest gebruikte resolvers. In een follow-up artikel laten we zien hoe je de goede werking van het nieuwe trust anchor kunt testen.

Installatie trust anchor voor nieuwe root KSK

Installatie trust anchor voor nieuwe root KSK

Op dit moment is ICANN bezig met de roll-over van het KSK-sleutelpaar van de DNS-root. Dat betekent dat ICANN het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur (KSK-2010) vervangt door een nieuw sleutelpaar (KSK-2017).

Het eerste gedeelte van dit artikel behandelt de verschillende manieren waarop beheerders van validerende resolvers het publieke gedeelte van het nieuwe sleutelpaar als trust anchor op hun systemen kunnen installeren. Het tweede gedeelte richt zich specifiek op de handmatige update van het trust anchor en de automatische installatie via de update-functie van het operating system. De automatische installatie via DNSSEC zelf (op basis van RFC 5011) wordt in een follow-up artikel behandeld, tesamen met een overzicht van de meest gebruikte resolver software-pakketten en hun ondersteuning van deze feature.

De root KSK roll-over — veel gestelde vragen

De root KSK roll-over — veel gestelde vragen

Op dit moment is ICANN bezig met de roll-over van het KSK-sleutelpaar van de DNS root. Dat betekent dat ICANN het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur vervangt door een nieuw sleutelpaar.

Beheerders van validerende resolvers moeten het publieke gedeelte van het nieuwe sleutelpaar als trust anchor op hun systemen installeren. Is dat uiterlijk op 11 oktober 2017 niet gebeurd, dan kunnen vanaf die dag de digitale handtekeningen onder de DNS-records niet meer gevalideerd worden. Daarmee zijn dan alle Internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar geworden.

Op deze pagina beantwoorden we de meest gestelde vragen over de root KSK roll-over.