Vraag

Inschakelen van DNSSEC

  • 6 June 2020
  • 13 reacties
  • 398 keer bekeken
T
Rank

Beste,

Bij KPN heb ik een eigen domeinnaam geregistreerd staan. Nu ben ik benieuwd of het mogelijk is om hierop DNSSEC te activeren. Mocht dit mogelijk zijn, welke stappen moet ik dan ondernemen? 

Dank voor het antwoord.

 

13 reacties

wjb
Rank
Reputatie 7

DNSSEC is niet iets dat je per domeinnaam hoeft te activeren.

Het is een extensie van het DNS protocol zelf waardoor het vervalsen van het resultaat van een DNS query veel moeilijker wordt.

Als de gebruikte DNS server dus maar DNSSEC ondersteunt is jouw domein daarmee ook "beschermd".

Be positive, avoid negativity, enjoy life and stay healthy!
T
Rank

Ok helder. Wat je nu bij een aantal providers tegen komt, is dat je via hun control panel DNSSEC kunt inschakelen. Betekent dit dat de communicatie dan nog steeds niet volledig encrypted is en dat er nog meer stappen nodig zijn? Bijvoorbeeld het regelen / instellen van Certificaten die nodig zijn om de communicatie te versleutelen? En wie is dan de uitvoerende partij hierin? Is dat de provider of wordt dit door de beheerder ( klant ) gedaan? 

De reden van mijn vragen zijn dat ik een mailserver, die in een Datacenter staat, wil beveiligen met o.a. DNSSEC. Ik zou graag willen weten hoe je dit instelt, en wat hiervoor nodig is om dit voor elkaar te krijgen. 

 

 

wjb
Rank
Reputatie 7

DNSSEC beperkt zich echt tot de DNS communicatie voor het verkrijgen van het IP adres achter het domein. Om jouw site als https te kunnen openen zal je een SSL certificaat moet installeren op de server waar die site gehost wordt.

Zelf heb ik op mijn Synology NASsen en mijn EdgeRouter gratis SSL certificaten van Let's Encrypt staan zodat ik die via https kan benaderen.

 

Be positive, avoid negativity, enjoy life and stay healthy!
T
Rank

De vervolgvraag is dan of KPN gebruik maakt van DNSSEC?

Als ik een testje draai via internet.nl lijkt het alsof DNSSEC niet actief is.

In ieder geval niet voor de records die ik gebruik.

Dit zie je beter wanneer je een test uitvoert via https://dnsviz.net/ ; hieruit concludeer ik dat alleen de records nog niet beveiligt zijn.

 

Nick83
Rank
Reputatie 7
Badge +24

Om jouw site als https te kunnen openen zal je een SSL certificaat moet installeren op de server waar die site gehost wordt.

Maar https heeft volgens mij niets te maken met dnssec. En mail heeft ook niets te maken met dnssec.

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Rank
Reputatie 7

Om jouw site als https te kunnen openen zal je een SSL certificaat moet installeren op de server waar die site gehost wordt.

Maar https heeft volgens mij niets te maken met dnssec. En mail heeft ook niets te maken met dnssec.

Klopt, maar mijn vermoeden is dat @Tygy wil dat zijn site encrypted wil kunnen banaderen en dan heb je dus https nodig.

Be positive, avoid negativity, enjoy life and stay healthy!
T
Rank

@wjb Ik wil mijn website niet encrypten. Certificaten regel ik meestal via Let’s encrypt.

Wat ik wil proberen is gebruik maken van beveiligde DNS communicatie.

Via de website https://internet.nl kun je diverse tests uitvoeren, om te zien of je website of e-mail communicatie voldoet aan de laatste veiligheidsstandaarden ( hoewel deze methodes al jaren bestaan ).

Via die website heb ik een test gedaan om mijn mail server te controleren.

Een van de mogelijke beveiligingen is het toepassen van versleuteling van DNS requests, door gebruik te maken van DNSSEC.

DNSSEC wordt bijvoorbeeld gebruikt om DNS Cache Poisoning tegen te gaan.

Mijn vraag in het kort is eigenlijk: wat heb ik nodig of wat moet ik doen om gebruik te maken van DNSSEC? Is dit iets wat ik moet instellen of kan de provider dit voor mij instellen? Ik weet dat KPN al van DNSSEC gebruik maakt, maar blijkbaar ( nog ) niet voor geregistreerde domeinen van klanten.

Ik gebruik het dan om mailverkeer te beveiligen, maar als ik een website aan mijn domein hang, zijn die DNS requests ook beveiligt.

Ik hoop dat mijn vraag / wens zo een beetje duidelijk is? Anders hoor ik het graag.

wjb
Rank
Reputatie 7

Bij welke provider heb je jouw mailserver ondergebracht?

Wie is de registrar van het domein?

Be positive, avoid negativity, enjoy life and stay healthy!
T
Rank

De Server draait bij Hetzner, en het domein is bij KPN / Tucows geregistreerd.

wjb
Rank
Reputatie 7

Dan hoop ik dat er binnenkort iemand van KPN zal reageren om je hierbij verder te helpen.

Blijkbaar heeft KPN nog geen dienst om via haar geregistreerde domeinen te voorzien van DNSSEC handtekening. Hetzelfde lijkt overigens ook te gelden voor XS4ALL.

Be positive, avoid negativity, enjoy life and stay healthy!
T
Rank

Dat hoop ik ook.

Dank je wel voor het meedenken! Sorry dat mijn vraagstelling nogal wazig was.

Lisa
Rank
Reputatie 7
Badge +17

Hoi @Tygy, Welkom op ons Forum! Excuses voor de late reactie. Ik moet even eerlijk zijn.. De vraag die je stelt is voor mij een ver-van-mijn-bed-show. Ik ga je vraag doorzetten intern en kom vermoedelijk nog terug met een paar vragen. 
Kun je (voor de zekerheid) alvast je profiel in te vullen, zodat ik de gegevens er -wanneer nodig- bij kan pakken of door kan zetten naar mijn collega(‘s). 

Blij met een antwoord? Geef een like! Is een bericht het beste antwoord op je vraag? Markeer het dan als oplossing.
Lisa
Rank
Reputatie 7
Badge +17

@Tygy Ik zie dat ik niet meer gereageerd heb. Het is waarschijnlijk een mogelijkheid bij onze zakelijke pakketten. Ik vermoed dat je zakelijk geregistreerd staat bij ons, klopt dit? 
Omdat ik geen gegevens van je heb kan ik het niet voor je doorzetten naar de juiste afdeling en controleren of dit mogelijk is voor je. 
Je kunt het beste je vraag stellen op ons Zakelijk KPN Forum of telefonische contact opnemen. 

Blij met een antwoord? Geef een like! Is een bericht het beste antwoord op je vraag? Markeer het dan als oplossing.

Reageer


De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Forumvoorwaarden