Defaults.Exposed

Defaults.Exposed › Rapporten

Wat is DNSSEC — en heb je het eigenlijk nodig? (2026)

Gepubliceerd 2026-07-01

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde census­gegevens over 261 miljoen beoordeelde domeinen. DNSSEC voegt cryptografische handtekeningen toe aan DNS, zodat een resolver kan aantonen dat een antwoord echt van jou komt en niet is gemanipuleerd. Zie hoe we beoordelen.

DNSSEC voorziet elk DNS-antwoord voor je domein van een handtekening, zodat een aanvaller er niet stiekem een vervalst antwoord voor in de plaats kan zetten en je bezoekers ergens anders heen kan sturen. Het is een van de minst toegepaste maatregelen op het web: slechts 1,99% van de 261 miljoen domeinen heeft een geldige ondertekende keten. Het is ook een van de weinige waarbij een slechte configuratie erger is dan helemaal geen — 3,02% van de domeinen is ondertekend maar defect, wat ze onbereikbaar kan maken. Hier lees je wat het doet en of je het nodig hebt.

Waar DNSSEC daadwerkelijk tegen beschermt

Gewone DNS heeft geen manier om aan te tonen dat een antwoord echt is. Dat opent de deur voor cache poisoning en on-path DNS-spoofing — een aanvaller voedt een resolver een vervalst record en stuurt je bezoekers, of je e-mail, naar zijn server, zonder certificaatwaarschuwing die het verraadt. DNSSEC dicht dat gat door de records te ondertekenen, zodat een validerende resolver alles weigert wat niet klopt.

Wat het niet doet: het versleutelt DNS niet, beveiligt de website zelf niet en vervangt HTTPS, DMARC of CAA niet. Het is één laag — integriteit voor DNS-antwoorden.

Het adoptiebeeld

Per domeinextensie loopt geldige DNSSEC sterk uiteen: 18,38% op .se, 11,86% op .nl, 14,62% op .cz — tegenover slechts 1,62% op .com.

Heb je het nodig?

Hoe je het veilig inschakelt

  1. Gebruik een DNS-host die DNSSEC automatiseert — ondertekening en sleutelrotaties worden voor je afgehandeld (de meeste grote providers doen dit nu met één klik). Zie DNSSEC repareren.
  2. Schakel ondertekening in en publiceer vervolgens het DS-record bij je registrar om de vertrouwensketen te voltooien.
  3. Valideer dat de keten oplost voordat je het loslaat — een ondertekend-maar-defect domein is erger dan een niet-ondertekend domein.
  4. Beheer sleutels nooit met de hand tenzij je de tooling hebt om ze betrouwbaar te roteren.

Veelgestelde vragen

Wat is DNSSEC in eenvoudige bewoordingen? Het is een set digitale handtekeningen op je DNS-records, zodat resolvers kunnen aantonen dat het antwoord echt is en niet onderweg is vervalst.

Heb ik DNSSEC echt nodig? Het is het meest waardevol voor domeinen met een hoog doelwitprofiel en waar compliance erom vraagt. Voor alle anderen is het een goede verhardingsstap als je DNS-host het automatiseert — het belangrijkste risico is een verkeerde configuratie, die 3,02% van de domeinen momenteel heeft.

Versleutelt DNSSEC mijn DNS? Nee. Het bewijst integriteit (het antwoord is authentiek) maar verbergt de query niet. Dat is een andere technologie (DoH/DoT).

Kan DNSSEC mijn website kapotmaken? Een defecte of verlopen handtekening kan je domein onvindbaar maken voor iedereen die een validerende resolver gebruikt. Daarom zijn geautomatiseerde ondertekening en sleutelrotatie zo belangrijk.

Is DNSSEC gratis? Ja, bij de meeste moderne DNS-hosts — het is een instelling, geen aankoop.

Controleer de DNSSEC van je domein gratis

Bekijk of je domein ondertekend, geldig en correct geketend is — privé en alleen voor de eigenaar.

Controleer je domein → · DNSSEC repareren → · Werkt verplichte DNSSEC? → · Hoe we beoordelen → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.