Hulpartikel overzicht

Hulpartikel

Een SSHFP-record instellen

In dit artikel leggen we uit hoe je een SSHFP-record instelt binnen de DNS instellingen van je domeinnaam.

SSHFP staat voor Secure Shell fingerprint. Het doel van het SSHFP-record is om de publieke sleutel van de SSH-server te kunnen verifiëren middels DNS. Hier wordt dan de fingerprint van de publieke sleutel van de SSH-server voor gebruikt, die met een SSHFP-record in de DNS opgenomen wordt.

Door middel van DNSSEC kan de fingerprint vervolgens worden geverifieerd zodat degene die via SSH verbindt dit niet zelf hoeft te doen. De fingerprint wordt in deze situatie namelijk vaak blindelings geaccepteerd door de gebruiker, wat de verbinding vatbaar maakt voor een zogeheten man-in-the-middle aanval.

Door gebruik te maken van een SSHFP-record wordt deze stap niet overgeslagen en waarborg je dus de veiligheid van de SSH-verbinding.

Let op: Omdat DNSSEC wordt gebruikt om de fingerprint te verifiëren, is het noodzakelijk dat DNSSEC is ingeschakeld op jouw domein.

 

Domeinnamen die gebruik maken van de TransIP nameservers maken standaard gebruik van DNSSEC. Je kunt met behulp van het volgende Knowledge Base artikel een domeinnaam die eigen nameservers gebruikt beveiligen met DNSSEC.


Waar voeg ik een SSHFP-record toe?

DNS-records voeg je eenvoudig en kosteloos toe via je controlepaneel. Ga hier naar het tabblad 'Domein & Hosting' en klik in de linkerkolom op het domein waar je het SSHFP-record voor wilt instellen (niet aanvinken).

Scrol nu naar 'Geavanceerd Domeinbeheer', gevolgd door 'DNS'. Zie je dit nog niet terug, zet dan eerst de schakelaar uit achter 'TransIP instellingen'. Je ziet daarna een overzicht terug van jouw DNS-records, die je vervolgens naar wens kan aanpassen.

Laat na het aanpassen en opslaan van je eigen DNS-records de schakelaar bij 'TransIP instellingen' uit staan.


Hoe stel ik een SSHFP-record in?

Een SSHFP-record is opgebouwd uit drie onderderelen (gescheiden met een spatie), in een vaste volgorde:

  1. Algoritme, aangegeven met een getal.
  2. Type fingerprint, aangegeven met een getal.
  3. Fingerprint, uitgedrukt als een reeks hexadecimale karakters (bestaande uit '0-9' en 'a-f').

In de onderstaande afbeelding zie je een voorbeeld van een SSHFP-record voor het root domein in je controlepaneel:

SSHFP-record


Naam

Een SSHFP-record stel je in door met de 'naam' te beginnen. Hier geef je op voor welk deel van het domein het DNS-record moet werken. Een SSHFP-record kun je instellen voor zowel je hoofddomein (het root domein) als een subdomein.

  • Wil je een SSHFP-record voor het root domein instellen, dan vul je een @ in het 'Naam'-veld in.
  • Wil je een SSHFP-record voor een subdomein instellen, dan vul je alleen het subdomein in het 'Naam'-veld in.
    • Onze DNS-software voegt dan het root domein automatisch op de achtergrond aan het subdomein toe. Bijvoorbeeld: voor het subdomein voorbeeld.domeinnaam.nl vul je enkel 'voorbeeld' in.

TTL

De 'TTL' van een DNS-record bepaalt hoe lang het record in de cache mag blijven staan. Wij raden aan om de TTL laag te houden, bijvoorbeeld op 1 uur.


Type

 

Omdat je een SSHFP-record wilt instellen, kies je onder 'Type' voor 'SSHFP'.


Waarde

In de waarde van het SSHFP-record vul je opeenvolgend het algoritme, type fingerprint en de fingerprint in, elk gescheiden door een spatie.

Als voorbeeld gebruiken we onderstaande afbeelding waarin we de volgende gegevens hebben ingevoerd:

SSHFP-record

  • Het algoritme (2), wat overeenkomt met DSA
  • Het type fingerprint (1), wat overeenkomt met SHA-1
  • De fingerprint (67a829bc13e45df67890123456789abcdef67890)


Deze drie verschillende elementen lichten we hieronder verder toe.


Algoritme

De waarde van het SSHFP-record begint met een getal (1, 2, 3, of 4) waarmee wordt aangegeven welk algoritme de publieke sleutel gebruikt.

  1. RSA
  2. DSA
  3. ECDSA
  4. Ed25519

Type fingerprint

Het tweede getal in de waarde bestaat uit een 1 of 2, welke het type algoritme aangeeft dat is gebruikt om de fingerprint van de publieke sleutel te genereren.

  1. SHA-1
  2. SHA-265

Fingerprint

Na de eerste twee getallen die de algoritmes aangeven (gebruikt voor de publieke sleutel en de fingerprint), vul je de fingerprint zelf in. De fingerprint is het hash resultaat van de SSH-sleutel, uitgedrukt in hexadecimalen (bestaande uit de karakters '0-9' en 'a-f').

SHA-1 fingerprints zijn 40 karakters lang, SHA-265 fingerprints bestaan uit 64 karakters.


 

In dit artikel hebben we uitgelegd hoe je SSHFP-records in je controlepaneel instelt. Voor een algemene uitleg over DNS-records en het invoeren hiervan check je het artikel 'Wat zijn DNS en nameservers?'.

Mocht je na het lezen van dit artikel nog vragen hebben, neem dan contact op met onze supportafdeling. Je bereikt hen via de knop 'Neem contact op' aan de onderzijde van deze pagina.
 
Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op