Snel overzicht
DNSSEC (DNS Security Extensions) voegt cryptografische handtekeningen toe aan DNS records. Hiermee kunnen computers verifiëren dat DNS antwoorden authentiek zijn en niet zijn gemanipuleerd.
Wat is DNSSEC?
DNSSEC staat voor Domain Name System Security Extensions. Het is een uitbreiding op het DNS protocol die beschermt tegen bepaalde aanvallen, zoals DNS spoofing en cache poisoning.
Vergelijk het met een notaris die een document ondertekent:
- De handtekening bewijst dat het document authentiek is
- Elke wijziging maakt de handtekening ongeldig
- Je kunt de handtekening verifiëren bij de notaris
Waarom DNSSEC belangrijk is
- Voorkomt DNS spoofing aanvallen
- Beschermt tegen cache poisoning
- Garandeert authenticiteit van DNS antwoorden
- Vereist voor sommige nieuwe technologieën (DANE)
Hoe werkt DNSSEC?
DNSSEC werkt met een keten van vertrouwen, vergelijkbaar met SSL certificaten:
- Root zone ondertekent .nl
De root DNS servers ondertekenen de .nl zone - .nl ondertekent jouw domein
SIDN (beheerder van .nl) ondertekent jouw domeinrecords - Jouw domein ondertekent records
Elk DNS record krijgt een digitale handtekening (RRSIG) - Resolver verifieert
De DNS resolver controleert alle handtekeningen in de keten
DNSSEC Record Types
| Record | Betekenis | Functie |
|---|---|---|
DNSKEY |
DNS Public Key | Publieke sleutel voor verificatie |
DS |
Delegation Signer | Hash van DNSKEY bij parent zone |
RRSIG |
Resource Record Signature | Digitale handtekening van records |
NSEC/NSEC3 |
Next Secure | Bewijst dat een record niet bestaat |
DNSSEC Inschakelen
Het inschakelen van DNSSEC verschilt per situatie:
Bij je domeinregistrar
De meeste Nederlandse registrars ondersteunen DNSSEC:
- TransIP - Automatisch ingeschakeld bij hun DNS
- Antagonist - Via controlepaneel in te schakelen
- Versio - Beschikbaar in klantenpaneel
- Hostnet - DS records handmatig toevoegen
Bij externe DNS (Cloudflare, etc.)
- Schakel DNSSEC in bij je DNS provider
- Kopieer de DS record gegevens
- Voeg DS record toe bij je registrar
- Wacht op propagatie (kan tot 48 uur duren)
Let op bij DNSSEC
- Verkeerde configuratie kan je domein onbereikbaar maken
- DS records moeten exact overeenkomen
- Bij DNS provider wissel: eerst DNSSEC uitschakelen
- Key rollover moet correct worden uitgevoerd
DNSSEC Controleren
Je kunt controleren of DNSSEC correct is ingesteld:
- Gebruik onze gratis domein scanner
- Check Verisign DNSSEC Analyzer
- Test met
dig +dnssec jouwdomein.nl
Veelgestelde Vragen
Is DNSSEC verplicht?
Nee, DNSSEC is niet verplicht. Maar het wordt sterk aanbevolen, vooral voor bedrijven en organisaties. Sommige overheidsdiensten en banken vereisen DNSSEC voor hun leveranciers.
Vertraagt DNSSEC mijn website?
Minimaal. De extra DNS queries voor verificatie voegen slechts milliseconden toe. Moderne resolvers cachen DNSSEC informatie efficiënt.
Wat als DNSSEC validatie faalt?
Als de handtekeningen niet kloppen, weigert een validerende resolver het DNS antwoord. Je domein wordt dan onbereikbaar voor gebruikers met DNSSEC-validerende resolvers.
Werkt DNSSEC met Cloudflare?
Ja, Cloudflare ondersteunt DNSSEC volledig. Je kunt het met één klik inschakelen in het dashboard en de DS records worden automatisch gegenereerd.