Defaults.Exposed › Instellen › DNSSEC

DNSSEC instellen bij Cloudflare

Schakel DNSSEC in bij Cloudflare en voeg het DS-record toe bij uw registrar, zodat niemand uw DNS-antwoorden kan vervalsen.

Waarom dit belangrijk is voor uw bedrijf

Wanneer iemand uw domein intypt of u een e-mail stuurt, vraagt zijn computer het DNS-systeem om het juiste adres. Normaal gesproken reizen die antwoorden ondertekenloos, wat betekent dat een aanvaller die ze kan manipuleren, uw bezoekers ongemerkt naar een nepwebsite kan leiden of uw e-mail kan omleiden naar zijn eigen server. Uw klanten zien al die tijd uw echte domein in de adresbalk.

DNSSEC (DNS Security Extensions, een laag die DNS-antwoorden ondertekent) dicht dat gat. Het ondertekent uw DNS-antwoorden cryptografisch, zodat degene die u opzoekt kan bewijzen dat het antwoord echt van u kwam en onderweg niet is gewijzigd. Eenvoudig gezegd: het belet criminelen uw domein te kapen of de opzoekingen te vergiftigen die mensen naar u verwijzen. Het is gratis, en het is een van de sterkste beschermingen die u kunt inschakelen voor het fundament waar al het andere op rust.

Hoe DNSSEC werkelijk werkt (zodat de stappen logisch zijn)

DNSSEC bestaat uit twee helften die op twee plaatsen leven:

Uw DNS-host (Cloudflare) ondertekent uw records en publiceert de openbare sleutels (een DNSKEY) plus een kleine vingerafdruk daarvan, een DS-record.
Uw registrar (waar u het domein heeft gekocht en verlengt) publiceert dat DS-record hogerop in de bovenliggende zone (bijvoorbeeld .com).

Het DS-record bij de registrar is de schakel in de vertrouwensketen. Cloudflare kan de hele dag ondertekenen, maar tot het bijbehorende DS-record bij uw registrar is gedeponeerd, heeft het bredere internet geen ondertekende manier om die handtekeningen te vertrouwen. De klus bestaat dus uit twee stappen: zet het aan in Cloudflare, geef daarna het DS-record aan uw registrar.

Het echte risico — doe dit zorgvuldig

DNSSEC kan uw hele domein offline halen als het verkeerd gebeurt. De twee manieren waarop dat gebeurt:

Een DS-record bij de registrar publiceren dat niet overeenkomt met waarmee uw DNS-host daadwerkelijk ondertekent.
Uw DNS naar een andere host verplaatsen (of Cloudflare uitschakelen) zonder eerst het DS-record bij de registrar te verwijderen — het oude DS-record blijft handtekeningen eisen die niet meer bestaan, en opzoekingen beginnen te mislukken.

Geen van beide is gevaarlijk als u de onderstaande procedure in volgorde volgt en het DS-record bij de registrar nooit verwijdert terwijl Cloudflare nog uw ondertekenende host is. Bent u ooit van plan weg te gaan bij Cloudflare, schakel dan eerst DNSSEC uit en verwijder het DS-record bij de registrar, en verplaats daarna.

Controleer of Cloudflare uw DNS beheert

Dit werkt alleen als Cloudflare de DNS voor uw domein beantwoordt. Cloudflare is uw DNS-host, niet noodzakelijk het bedrijf waar u het domein heeft gekocht. Cloudflares DNS is alleen actief wanneer de naamservers van uw domein naar de Cloudflare-naamservers in uw dashboard wijzen. Open uw domein in Cloudflare en controleer op de pagina Overview of Cloudflare actief is. Wijzen uw naamservers ergens anders heen, schakel DNSSEC dan in bij de provider die uw DNS beheert.

Stap voor stap bij Cloudflare

Log in bij Cloudflare en selecteer uw domein.
Ga in het linkermenu naar DNS en dan Settings (oudere dashboards tonen een gedeelte DNSSEC direct onder DNS).
Zoek DNSSEC en klik op Enable DNSSEC.
Cloudflare toont een paneel met waarden — de belangrijkste is het DS-record. U ziet doorgaans velden zoals Key Tag, Algorithm, Digest Type, Digest en een kant-en-klare DS-record op één regel. Laat dit paneel open; u moet deze naar uw registrar kopiëren.
Log nu in bij uw registrar (het bedrijf waar u het domein verlengt — dit kan Cloudflare zijn, maar hoeft niet).
Zoek bij de registrar het gedeelte voor DNSSEC of DS-records voor uw domein en voeg een nieuw DS-record toe met de exacte waarden die Cloudflare gaf:
- Key Tag — het nummer dat Cloudflare toont.
- Algorithm — meestal 13 (ECDSA P-256 SHA-256).
- Digest Type — meestal 2 (SHA-256).
- Digest — de lange hexadecimale reeks, exact gekopieerd.
Sla op bij de registrar. Laat uw registrar één gecombineerde DS-recordregel plakken in plaats van aparte velden, gebruik dan de volledige DS-regel die Cloudflare toonde.
Terug in Cloudflare gaat de DNSSEC-status naar active zodra de registrar het DS-record heeft geaccepteerd (dit kan even duren om te bevestigen).

Cloudflare-valkuilen waar mensen instappen

Twee systemen, niet één. DNSSEC alleen in Cloudflare inschakelen doet op zichzelf niets — het DS-record moet ook bij uw registrar worden gedeponeerd. Mensen stoppen na stap 3 en vragen zich af waarom het nooit actief wordt.
Kopieer de digest exact. Eén verkeerd of ontbrekend teken in de Digest betekent dat het DS-record van de registrar niet overeenkomt met Cloudflares handtekeningen, en dat is precies de misconfiguratie die een domein offline haalt. Kopiëren en plakken; nooit overtypen.
Laat de algoritme- en digest-type-nummers overeenkomen. Vraagt uw registrar hier apart om, gebruik dan de waarden die Cloudflare toont — gok niet.
Is Cloudflare ook uw registrar, dan wordt de DS-stap intern afgehandeld en ziet u mogelijk geen apart registrar-formulier — maar bevestig dat DNSSEC als actief wordt getoond voordat u aanneemt dat het klaar is.
Verwijder het DS-record nooit terwijl Cloudflare nog ondertekent. En migreert u ooit DNS weg van Cloudflare, schakel dan DNSSEC uit en wis het DS-record bij de registrar vóór de verplaatsing.
Geef het tijd. DNSSEC-wijzigingen kunnen van een paar minuten tot een dag duren om volledig door te voeren en als actief te tonen.

Controleer of het gelukt is

Zodra DNSSEC in Cloudflare als actief wordt getoond en het DS-record bij uw registrar op zijn plaats staat, voert u de gratis controle op deze site uit. Die vertelt u in gewone taal of DNSSEC correct is gepubliceerd en vertrouwd voor uw domein.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.