Wat is dit
DNSSEC ondertekent je DNS-antwoorden cryptografisch. Resolvers verifieren de handtekening voordat ze het antwoord aan de gebruiker geven. Zonder DNSSEC is een vervalst DNS-antwoord (cache poisoning) lastig te detecteren.
Waarom belangrijk
Een aanvaller die DNS kan vervalsen, kan verkeer naar jouw merknaam omleiden naar een nepsite of mailserver. DNSSEC sluit dat af, en is verplicht voor sommige aanbestedingen en voor .gov-achtige scenario's.
Hoe los ik dit op
TransIP: Open Domeinen > jouw domein > DNSSEC. Klik DNSSEC inschakelen. TransIP regelt de DS-record bij de registry automatisch.
CloudFlare: DNS > Settings > Enable DNSSEC. Kopieer de DS-record en zet hem bij je registrar in (bij sommige registrars in NL gebeurt dat automatisch via een API).
Strato of Antagonist: In het klantenpaneel onder DNS-instellingen vind je een schakelaar voor DNSSEC. Inschakelen, een paar minuten wachten, en bij externe registrar de DS toevoegen.
Anders: Activeer DNSSEC bij je DNS-host. Kopieer de DS-record (Key Tag, algoritme, digest type, digest) en plaats die bij je registrar.
Verifieren
DNSViz geeft een visuele weergave van de chain of trust. Of run dig DS jouwdomein.nl +short en dig DNSKEY jouwdomein.nl +short. Een groen vinkje of geldige DS = goed.