DNSSEC voor een domein instellen

Bekijk de videolessen

DNSSEC is een uitbreiding van het DNS-protocol waarmee u DNS-data kunt ondertekenen om zo het proces van het opzoeken van domeinnamen te beveiligen. Voor algemene informatie over DNSSEC en het gebruik daarvan bezoekt u de website van ICANN en https://tools.ietf.org/html/rfc6781.

Opmerking: Ondersteuning voor DNSSEC is beschikbaar in Plesk voor Linux. De extensie Plesk DNSSEC moet in Plesk zijn geïnstalleerd door de hostingprovider.

U kunt het volgende doen om de DNS-gegevens van uw domeinen met DNSSEC te beveiligen:

  • Onderteken domeinzones en hef de ondertekening op volgens de DNSSEC-specificaties
  • (Optioneel) Geef aangepaste instellingen op voor het genereren van sleutels
  • Meldingen ontvangen
  • Bekijk en kopieer DS-records
  • Bekijk en kopieer DNSKEY-recordsets.
Een domeinzone ondertekenen

Om te beginnen met het gebruik van DNSSEC voor uw DNS-zone, ondertekent u deze zone. Plesk ondertekent de zone met automatisch gegenereerde handtekeningen aan de hand van twee paar asymmetrische sleutels: de Key Signing Key (KSK) en de Zone Signing Key (ZSK).

Een domeinzone ondertekenen:

  1. Selecteer het domein onder Websites & domeinen.
  2. Ga naar DNSSEC en klik op De DNS-zone ondertekenen.
  3. Als de zone nog niet eerder is ondertekent, dan vraagt Plesk u om de sleutels te genereren waarmee de handtekening zal worden aangemaakt.

    U kunt de standaardwaarden gebruiken of u kunt aangepaste waarden opgeven. Zie de Aanbevolen waarden hieronder.

    2016-09-09_181447

  4. Als u de DNS-zone al eerder hebt ondertekend, dan kunt u kiezen om de eerder aangemaakte sleutels te gebruiken of om nieuwe aan te maken. Als u kiest voor nieuwe sleutels, dan kunt u ofwel de standaardwaarden gebruiken, of u kunt aangepaste waarden opgeven. Zie de Aanbevolen waarden hieronder.

    Aanbevolen waarden voor de KSK- en ZSK-instellingen:

    • Een lange sleutel en een lange overgangsperiode voor de KSK.

      Steeds wanneer de Key Signing Key wordt bijgewerkt, moet u de DS-records in de bovenliggende zone bijwerken. De aanbevolen waarden helpen u het bijwerken van de DS-records zo min mogelijk noodzakelijk te maken zonder dat dit ten koste gaat van de veiligheid.

    • Een kortere sleutel en een kortere overgangsperiode voor de ZSK.

      De Zone Signing Key wordt automatisch bijgewerkt. De aanbevolen waarden helpen u het systeem minder te belasten zonder dat dit ten koste gaat van de veiligheid.

      DNSSEC_ask

  5. Aan het eind van de ondertekening procedure toont Plesk de DS-records met de hashes van de Key Signing Keys die zijn gebruikt voor het ondertekenen van de zone.

    Kopieer de DS-records naar het klembord en voeg ze vervolgens toe aan de bovenliggende domeinzone. Zie De DS-records in de bovenliggende zone bijwerken hieronder.

    DNSSEC_copy_records

  

De DS-records in de bovenliggende zone bijwerken

Als de bovenliggende zone verouderde DS-records bevat, dat zal de domeinnaam niet langer beschikbaar zijn via de DNS-dienst.

U moet de DS-records in de bovenliggende domeinzone handmatig toevoegen of bijwerken in alle gevallen waarbij de DNSSEC-sleutels worden bijgewerkt, te weten:

  • U hebt een domeinzone ondertekend met nieuw aangemaakte sleutels.
  • Er heeft een KSK (Key Signing Key)-overgang plaatsgevonden.

Plesk stuurt u meldingen en geeft u enige tijd om de DS-records bij te werken - deze tijdperiode staat gelijk aan één KSK-overgangsperiode. In deze periode zijn de eerdere DS-records nog steeds geldig.

Als u de ondertekening van de domeinzone hebt opgeheven moet u de DS-records in de bovenliggende domeinzone handmatig verwijderen.

De DS-records in de bovenliggende zone bijwerken

Voor een domein in Plesk waarvan de bovenliggende domeinzone buiten Plesk wordt beheerd kunt u de DS-records bijwerken bij het bedrijf van de domeinregistratie.

Voor het subdomein van een domein dat in Plesk wordt gehost en waarvan de DNS-zone in Plesk wordt beheerd:

  1. Ga naar de DNS-instellingen van het bovenliggende domein (Websites & domeinen > ga naar het bovenliggende domein > DNS-instellingen).
  2. Voeg nieuwe records van het type DS toe (Record toevoegen) en plak de waarden die Plesk weergeeft in het veld DS-records in de DNSSEC-instellingen van het subdomein.
De ondertekening van een domeinzone opheffen

Het opheffen van de ondertekening van een domeinzone schakelt de DNSSEC-bescherming voor die zone uit. Het is bijvoorbeeld nodig om de ondertekening van een zone op te heffen als de sleutels zijn gecompromitteerd, waarna u de zone opnieuw moet ondertekenen met nieuwe sleutels.

De ondertekening van een domeinzone opheffen:

  1. Ga naar Websites & domeinen > selecteer een domein > DNSSEC en klik op Ondertekening opheffen.
  2. Verwijder de DS-records uit de bovenliggende zone. Het domein zal anders niet functioneren.

Opmerking: Als u de ondertekening van een zone opheft, dan worden de sleutels niet uit Plesk verwijderd. U kunt de zone opnieuw ondertekenen met behulp van dezelfde sleutels.

De DNSKEY-records bekijken

Het is wellicht nodig de DNSKEY-records op te halen, waarin het openbare deel van de Key Signing Keys die door een domein worden gebruikt is opgeslagen.

DNSKEY-records weergeven:

  1. Ga naar Websites & domeinen > selecteer een domein > DNSSEC.
  2. Klik op DNSKEY-records bekijken.