Defaults.Exposed › Instellen › DNSSEC

DNSSEC instellen bij Namecheap

Schakel DNSSEC in bij Namecheap, zodat niemand uw DNS-antwoorden kan vervalsen en uw bezoekers of e-mail kan omleiden.

Waarom dit belangrijk is voor uw bedrijf

Elke keer dat iemand uw website opent of u e-mailt, vraagt zijn computer het DNS-systeem waar u te vinden bent. Die antwoorden reizen meestal ondertekenloos, dus een aanvaller die de opzoeking kan verstoren, kan uw bezoekers stilletjes naar een vervalste site sturen of uw e-mail omleiden naar zijn eigen server — terwijl uw echte domein nog steeds in de adresbalk verschijnt.

DNSSEC (DNS Security Extensions, een laag die DNS-antwoorden ondertekent) sluit die deur. Het ondertekent uw DNS-antwoorden cryptografisch, zodat iedereen die u opzoekt kan bevestigen dat het antwoord echt van u kwam en onderweg niet is gemanipuleerd. Eenvoudig gezegd: het voorkomt domeinkaping en cache-vergiftiging, de aanvallen die uw eigen domein als wapen tegen uw klanten inzetten. Het is gratis, en wanneer Namecheap uw DNS beheert is het bijna één klik.

Hoe DNSSEC werkt (en waarom Namecheap eenvoudig kan zijn)

DNSSEC bestaat uit twee helften: de DNS-host ondertekent uw records en publiceert de sleutels (een DNSKEY) plus een kleine vingerafdruk die een DS-record heet, en de registrar deponeert dat DS-record in de bovenliggende zone zodat de rest van het internet de handtekeningen vertrouwt.

Wanneer Namecheap zowel uw registrar als uw DNS-host is — dat wil zeggen, uw domein gebruikt Namecheap BasicDNS / PremiumDNS — regelt Namecheap beide helften met één schakelaar. Het ondertekent de zone en publiceert het DS-record voor u hogerop in de keten. Wordt uw DNS ergens anders gehost, dan kopieert u het DS-record van die host handmatig in Namecheap.

Het echte risico — doe dit in deze volgorde

DNSSEC kan uw domein offline halen als het verkeerd is opgezet. De twee manieren waarop dat gebeurt:

• Een DS-record dat bij de registrar is gedeponeerd en niet overeenkomt met waarmee de DNS-host daadwerkelijk ondertekent.
• Uw DNS naar een andere host verplaatsen (of ondertekening uitschakelen) zonder eerst het DS-record te verwijderen — het verouderde DS-record blijft handtekeningen eisen die niet meer bestaan, en opzoekingen mislukken.

Dus: verplaatst u DNS ooit weg van Namecheap, of weg van Namecheaps naamservers, schakel dan eerst DNSSEC uit en wis het DS-record, en verplaats daarna. Volg de onderstaande procedure in volgorde en u bent veilig.

Controleer of Namecheap uw DNS beheert

Controleer wat de DNS voor uw domein beantwoordt. Open het domein in uw Namecheap-account en bekijk de instelling Nameservers op het tabblad Domain:

• Staat die op Namecheap BasicDNS of Namecheap Web Hosting DNS / PremiumDNS, dan host Namecheap uw DNS — gebruik de één-klik-procedure.
• Staat er Custom DNS die naar een andere provider wijst, dan host die provider uw DNS — schakel DNSSEC daar eerst in en voeg het DS-record dat u krijgt toe in Namecheap.

Stap voor stap bij Namecheap (Namecheap is registrar en DNS-host)

1. Log in bij Namecheap.
2. Ga naar Domain List en klik op Manage naast uw domein.
3. Open het tabblad Advanced DNS.
4. Scroll naar het gedeelte DNSSEC.
5. Zet DNSSEC op on.
6. Bevestig. Met Namecheaps eigen DNS ondertekent Namecheap de zone en publiceert het DS-record voor u hogerop in de keten — er valt niets elders te kopiëren.

Stap voor stap wanneer uw DNS elders wordt gehost

Is Namecheap uw registrar maar host een ander bedrijf uw DNS:

1. Schakel DNSSEC eerst in bij uw DNS-host en kopieer de DS-record-waarden die dit oplevert — doorgaans Key Tag, Algorithm, Digest Type en de Digest.
2. Open in Namecheap het domein, ga naar het tabblad Advanced DNS en vervolgens naar het gedeelte DNSSEC.
3. Voeg een DS-record toe en voer de waarden van uw DNS-host exact in de bijbehorende velden in.
4. Sla op. Het DS-record is nu in de bovenliggende zone gedeponeerd, waarmee de vertrouwensketen compleet is.

Namecheap-valkuilen waar mensen instappen

• De schakelaar doet alleen alles wanneer Namecheap ook uw DNS host. Bij Custom DNS is hem alleen omzetten niet genoeg — u moet het DS-record van uw echte DNS-host plakken.
• Onderteken niet dubbel. Ondertekent uw externe DNS-host de zone al, voer dan alleen zijn DS-record in bij Namecheap — schakel niet ook Namecheaps eigen ondertekening in.
• Kopieer DS-waarden teken voor teken. Eén verkeerd cijfer in de Digest betekent dat de DS niet overeenkomt met de handtekeningen, en dat is precies wat een domein offline haalt. Plakken, nooit overtypen.
• Laat algoritme- en digest-type-nummers overeenkomen met wat uw DNS-host meldt — gok niet.
• Schakel DNSSEC uit voordat u de naamservers wijzigt. Van DNS-host wisselen terwijl een verouderd DS-record nog aanwezig is, is de klassieke manier om een domein offline te halen.
• Geef het tijd. Wijzigingen kunnen van minuten tot een dag duren om volledig door te voeren.

Controleer of het gelukt is

Zodra DNSSEC is ingeschakeld (en een eventueel DS-record op zijn plaats staat), voert u de gratis controle op deze site uit. Die vertelt u in gewone taal of DNSSEC correct is gepubliceerd en vertrouwd voor uw domein.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.