Defaults.Exposed › Instellen › DNSSEC

DNSSEC instellen bij GoDaddy

Schakel DNSSEC in bij GoDaddy met één schakelaar, zodat niemand uw DNS-antwoorden kan vervalsen en uw domein kan kapen.

Waarom dit belangrijk is voor uw bedrijf

Wanneer iemand uw website bezoekt of u een e-mail stuurt, vraagt zijn computer eerst het DNS-systeem om het juiste adres. Die antwoorden reizen normaal gesproken ondertekenloos, dus een aanvaller die de opzoeking kan manipuleren, kan uw bezoekers ongemerkt naar een nepsite sturen of uw e-mail omleiden naar zijn eigen server — terwijl uw echte domein nog steeds in de adresbalk staat.

DNSSEC (DNS Security Extensions, een laag die DNS-antwoorden ondertekent) houdt dat tegen. Het ondertekent uw DNS-antwoorden cryptografisch, zodat iedereen die u opzoekt kan bewijzen dat het antwoord echt van u kwam en onderweg niet is gewijzigd. Eenvoudig gezegd: het blokkeert domeinkaping en cache-vergiftiging, de aanvallen die uw eigen domein tegen uw klanten keren. Het is gratis, en bij GoDaddy is het meestal één schakelaar.

Hoe DNSSEC werkt (en waarom GoDaddy hier eenvoudig is)

DNSSEC bestaat uit twee helften: de DNS-host ondertekent uw records en publiceert de sleutels (een DNSKEY) plus een kleine vingerafdruk die een DS-record heet, en de registrar deponeert dat DS-record in de bovenliggende zone zodat de rest van het internet de handtekeningen kan vertrouwen.

Wanneer GoDaddy zowel uw registrar als uw DNS-host is — wat het is voor de meeste GoDaddy-domeinen die GoDaddy-naamservers gebruiken — doet GoDaddy beide helften voor u. U zet één schakelaar om; GoDaddy genereert de sleutels en deponeert het DS-record automatisch hogerop in de keten. Geen waarden tussen systemen overtypen.

Het echte risico — wanneer het niet zo eenvoudig is

DNSSEC kan uw domein offline halen als het verkeerd is geconfigureerd. Het gevaar ontstaat vooral wanneer de registrar en de DNS-host verschillende bedrijven zijn, of wanneer u van DNS-host wisselt:

• Is uw domein bij GoDaddy geregistreerd maar wordt uw DNS ergens anders gehost, dan geldt de één-klik-schakelaar van GoDaddy niet — u moet ondertekening inschakelen bij uw echte DNS-host en het DS-record handmatig bij GoDaddy toevoegen.
• Verplaatst u uw DNS ooit weg van GoDaddy, schakel DNSSEC dan eerst uit. Een achtergebleven DS-record dat niet meer overeenkomt met een actieve ondertekenende host laat opzoekingen mislukken en het domein op zwart gaan.

Is GoDaddy zowel registrar als DNS-host, dan is de onderstaande één-klik-procedure veilig.

Controleer of GoDaddy uw DNS beheert

Dit is alleen van belang als GoDaddy daadwerkelijk de DNS voor uw domein beantwoordt. Controleer of uw domein GoDaddy-naamservers gebruikt: open het domein in uw GoDaddy-account en bekijk de instelling Nameservers. Staan daar de naamservers van GoDaddy zelf, dan is de één-klik-schakelaar de juiste weg. Wijzen de naamservers naar een andere provider (bijvoorbeeld een aparte DNS-host), schakel DNSSEC dan in bij die provider en voeg het DS-record dat u daar krijgt toe in GoDaddy.

Stap voor stap bij GoDaddy (één klik, GoDaddy is registrar en DNS-host)

1. Log in bij uw GoDaddy-account.
2. Ga naar My Products (of Domain Portfolio).
3. Zoek uw domein op en open de beheerpagina — klik op de domeinnaam of het driepuntsmenu en kies Manage DNS / Domain Settings.
4. Scroll naar het gedeelte Additional Settings (in sommige accounts staat het onder DNS Management).
5. Zoek DNSSEC en klik op Manage of de schakelaar.
6. Zet DNSSEC op on.
7. Bevestig. GoDaddy genereert de sleutels, ondertekent uw zone en publiceert het DS-record voor u hogerop in de keten — er valt niets elders te kopiëren.

Stap voor stap wanneer uw DNS elders wordt gehost

Is GoDaddy alleen uw registrar en host een ander bedrijf uw DNS:

1. Schakel DNSSEC eerst in bij uw DNS-host en kopieer het DS-record dat dit oplevert (u heeft Key Tag, Algorithm, Digest Type en de Digest nodig).
2. Open in GoDaddy het domein en zoek het gedeelte DNSSEC onder Additional Settings.
3. Kies om een DS-record toe te voegen en voer de waarden van uw DNS-host exact in.
4. Sla op. Het DS-record is nu in de bovenliggende zone gedeponeerd, waarmee de keten compleet is.

GoDaddy-valkuilen waar mensen instappen

• Controleer eerst wie uw DNS host. De eenvoudige één-klik-schakelaar doet alleen het hele werk wanneer GoDaddy zowel registrar als DNS-host is. Staat DNS elders, dan is de schakelaar alleen niet genoeg.
• Zet het niet op twee plaatsen aan. Ondertekent uw DNS-host de zone al, voeg dan alleen het DS-record toe bij GoDaddy — zet niet ook de eigen ondertekeningsschakelaar van GoDaddy om, anders krijgt u twee concurrerende opzetten.
• Kopieer DS-waarden exact bij handmatige invoer. Eén verkeerd teken in de Digest breekt de keten en kan het domein offline halen.
• Schakel DNSSEC uit voordat u DNS verplaatst. Migreren naar een nieuwe DNS-host terwijl een verouderd DS-record nog aanwezig is, is de klassieke manier om een domein offline te halen.
• Geef het tijd. Wijzigingen kunnen van minuten tot een dag duren om volledig door te voeren.

Controleer of het gelukt is

Zodra DNSSEC is ingeschakeld (en een eventueel DS-record op zijn plaats staat), voert u de gratis controle op deze site uit. Die vertelt u in gewone taal of DNSSEC correct is gepubliceerd en vertrouwd voor uw domein.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.