DNSSEC-instellingen wijzigen
Domeinnamen die draaien op het DNS-platform van NederHost worden automatisch voorzien van een cryptografische handtekening met DNSSEC. Je hoeft niets te doen voor het op deze manier beveiligen van je domein; alles verloopt automatisch. Als je DNSSEC toch wilt uitschakelen of gebruik maakt van eigen nameservers dan is dat uiteraard wel mogelijk.
Om de instellingen die hier worden besproken zichtbaar te maken is het noodzakelijk dat je de optie 'Toon instellingen voor experts' in Mijn NederHost inschakelt. Let op: door het wijzigen van bepaalde instellingen kan je domeinnaam onbedoeld onbereikbaar worden. Neem bij twijfel contact op met NederHost vóór je een wijziging uitvoert.
Inhoud
DNSSEC uitschakelen
NederHost adviseert dit alleen te doen bij een op handen zijnde nameserverwijziging of domeinverhuizing. Om DNSSEC uit te schakelen ga je naar de instellingen van je domeinnaam in Mijn NederHost en volg je de volgende stappen:
- Zorg dat de expert-instellingen staan ingeschakeld.
- Kies in het blok 'Nameservers en DNSSEC' voor de optie 'Nameservers en DNSSEC-instellingen van deze domeinnaam wijzigen'.
- Vink de optie 'Ondertekenen met DNSSEC' uit en klik op Opslaan.
- De wijziging wordt binnen enkele minuten verwerkt.
DNSSEC en eigen nameservers
Als je gebruik maakt van je eigen nameservers dan regel je zelf het technische deel van de DNSSEC-ondertekening. Om ervoor te zorgen dat de gegevens ook daadwerkelijk worden gecontroleerd is het nodig om de sleutelgegevens aan de domeinregistry door te geven. Dit kun je regelen bij de instellingen van je domeinnaam in Mijn NederHost door de volgende stappen te volgen:
- Zorg dat de expert-instellingen staan ingeschakeld.
- Kies in het blok 'nameservers en DNSSEC' voor de optie 'Nameservers en DNSSEC-instellingen van deze domeinnaam wijzigen'.
- Kies de optie 'Gebruik eigen nameservers' als deze nog niet was geselecteerd.
- Controleer de ingevulde nameservers en pas deze eventueel aan.
- Vink de optie 'Vraag registry DS-records op te nemen voor deze zone' aan.
- Plaats nu in het onderste tektvak de DNSKEY-records met flags 257 zoals die in je zone staan vermeld. Andere records worden genegeerd.
- Klik op Opslaan om de wijzigingen op te slaan.
- Het kan enige tijd duren voor de wijziging is verwerkt, in de regel duurt dit twee tot maximaal 48 uur.
Let op: voor het uploaden van de sleutelgegevens moet je de DNSKEY-records opgeven en niet de eventueel zelf berekende DS-records. De reden hiervan is dat de meeste registry zelf de gewenste DS-records berekenen op basis van de DNSKEY-records.
Wijzigingsmethoden
Een domeinnaam met DNSSEC waarbij de sleutelgegevens niet (meer) correct zijn zal niet werken op validerende nameservers (o.a. Google DNS). het is daarom van belang de wijziging zorgvuldig uit te voeren. NederHost biedt hiervoor een aantal opties die je bij het doorgeven van wijzigingen zelf kunt kiezen bij de optie 'Wijzigingsmethode':
- Tijdelijk insecure: verwijdert DNSSEC-validatie tijdelijk tijdens de wijziging. Dit is de eenvoudigste manier en de standaardmethode die NederHost volgt.
- Doorlopend secure: hiermee worden eerst aanvullende DS-records gepubliceerd, de wijzigingen doorgevoerd en vervolgens de oude DS-records na enige tijd verwijderd. Om dit te laten werken is aanvullende configuratie nodig op je eigen nameservers en het verwerken van de wijziging op deze manier kan mede daardoor langer duren.
- Forceer onmiddelijke wijziging: de wijziging wordt direct doorgevoerd waarbij de zone waarschijnlijk korte tijd niet zal valideren ('bogus' wordt). NederHost adviseert deze methode alleen te gebruiken voor het oplossen van acute problemen (zoals het verlies van sleutelmateriaal op je eigen nameservers).
De configuratie controleren
In het blok 'Nameservers en DNSSEC' bij de instellingen van je domeinnaam in Mijn NederHost kun je op 'bekijk details' klikken om alle informatie over de DNSSEC-configuratie te controleren. Dit geeft de volledige technische status van je domeinnaam zoals die op dat moment wordt vastgesteld.
Let op: omdat dit scherm de technische status weergeeft kan het voorkomen dat recente wijzigingen nog niet zichtbaar zijn.