DNSSEC sleutel-rollover staat gepland, hoe doe ik dat zonder verstoring?
DNSSEC werkt met een keten van handtekeningen tussen registrar (DS-record) en je DNS-zone (DNSKEY). Een rollover die niet gefaseerd loopt, geeft 'BOGUS' bij resolvers en valideert je domein als kapot.
Probeer dit eerst zelf
- 1Zet de TTL van DS- en DNSKEY-records eerst lager (vaak 1 uur). Wacht twee maal die TTL voor je rolt, anders zit oude DS in de cache als je al een nieuwe key actief hebt.
- 2Twee veilige paden: 'Double Signature' (twee KSK's tegelijk actief, zone twee keer ondertekend) of 'Pre-publish' (nieuwe DNSKEY publiek voordat hij gebruikt wordt). De meeste managed DNS-providers (Cloudflare, Route 53) regelen dit automatisch, on-premise BIND niet.
- 3Bij managed DNS: trigger de rollover in de UI of API en wacht. Bij BIND/PowerDNS: volg de officiële rollover-procedure stap voor stap, sla geen wachttijden over.
- 4Update het DS-record bij de registrar als de nieuwe key DS klaar is. Voor .nl-domeinen gaat dat via je registrar naar SIDN; sommige registrars accepteren CDS-records zodat de zone het zelf publiceert.
- 5Verifieer met DNSViz (dnsviz.net) of Verisign DNSSEC Debugger: groen = chain klopt, rood/geel = ergens een mismatch. Niet pas live gaan voor het 100% groen is.
Wanneer ons inschakelen
Bij chain-of-trust-fouten in productie (resolvers met DNSSEC-validatie zien je domein als BOGUS, niet bestaand): meld bij je DNS-provider en/of registrar parallel met een tijdelijke uitschakeling van DNSSEC. Wij draaien zo'n rollover met een collega erbij om dubbele controles te hebben.
Zie ook
- Domein vervalt morgen en niemand had de mail gezienEen vervallen domein gaat niet direct naar een ander. Er zit een redemption-window omheen, maar je betaalt extra.
- Twijfel of auto-renew aan moet of nietAuto-renew uitzetten is alleen zinvol bij domeinen die je echt loost. Voor alles wat live is, gewoon aan.
- Nieuwe registrar vraagt om auth-code, weet niet waar die staatEPP-code of transfer-code is het wachtwoord om een domein van registrar A naar B te verhuizen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.