Wanneer je nameservers in eigen beheer hebt, dan kun je in je controlepaneel de benodigde DNSSEC-instellingen voor de meeste domeinextensies naar wens instellen.
Vervolgens kun je via het controlepaneel de benodigde DNSSEC-records toevoegen om je domeinen volledig te beveiligen met DNSSEC.
DNSSEC instellen in het controlepaneel
Ga binnen het controlepaneel naar het tabblad 'Domein & Hosting' en selecteer in de linkerkolom het betreffende domein (niet aanvinken). Klik nu bovenaan de pagina op 'Beheren' en klik daarna op 'DNSSEC-instellingen'. Op deze pagina kun je je DNSSEC-instellingen invullen.
Let op: Je kan alleen de DNSSEC-instellingen aanpassen wanneer je eigen nameservers hebt ingesteld. Gebruik je de TransIP-nameservers? Dan is DNSSEC automatisch voor je ingeschakeld en is de knop 'DNSSEC-instellingen' niet aanwezig.
Voor het aanmaken van de DNSSEC instellingen raden wij je aan om een zone-ondertekenscript te gebruiken, zoals ‘Zonesigner’.
Om Zonesigner te gebruiken heb je Bind en Perl nodig. Als je de nameservers van een dienst als CloudFlare gebruikt, verzorgen zij de Key Tag, het algoritme en de KSK (Key Signing Key).
Zodra je op 'DNSSEC-instellingen' hebt geklikt, kom je in het volgende scherm.
Hieronder vind je een korte uitleg van de benodigde DNSSEC Instellingen.
Key Tag:
Je kunt je Key Tag (4 of 5-cijferig) met behulp van Zonesigner terugvinden in je DNS zone.
Algoritme:
Dit betreft het type algoritme dat wordt gebruikt om je publieke sleutel te versleutelen. Je kan het corresponderende algoritmenummer vinden in je DNS zone.
Flags:
Je hebt de keuze uit Key Signing Key (KSK, 257) of Zone Signing Key (ZSK, 256). Normaliter gebruik je alleen Key Signing Key.
Public key:
Met deze sleutel wordt de digitale handtekening van de records in een DNS-zone gecontroleerd. Je kunt deze vinden in je DNS zone bij de corresponderende DNSKEY records.
Zodra je je DNSSEC-instellingen hebt ingevoerd, klik je op 'Opslaan'.
Let op dat voor enkele domeinextensies relatief nieuwe algoritmes zoals 13 en 14 mogelijk nog niet worden ondersteund door het bijbehorende register. Op de website van IANA.org kun je meer informatie vinden over de huidige algoritmes en de status van toekomstige algoritmes.
In dit artikel hebben we uitgelegd hoe je in je controlepaneel DNSSEC instelt voor je eigen nameservers.
Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' aan de onderzijde van deze pagina.
Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.
Met betrekking tot Cloudflare, hun admin panel toont voor DNSSEC onder andere:
Digest Type - 2: SHA256
De combinatie van deze twee elementen vormt de input voor Algoritme binnen de Transip DNSSEC instellingen. Op basis van deze gegevens dient ECDSA Curve P-256 with SHA-256(13) gekozen te worden in plaats van SHA256, zoals de Cloudflare weergave doet vermoeden.
Door alleen SHA256 te kiezen kreeg ik een foutmelding dat de Key Tag incorrect was.