DNSSEC voor een domein instellen
Bekijk de instructie-video
DNSSEC is een uitbreiding van het DNS-protocol waarmee u DNS-data kunt ondertekenen om zo het proces van het opzoeken van domeinnamen te beveiligen. Voor algemene informatie over DNSSEC en het gebruik daarvan bezoekt u de website van ICANN en https://tools.ietf.org/html/rfc6781.
Notitie: Ondersteuning voor DNSSEC is beschikbaar in Plesk voor Linux. De extensie Plesk DNSSEC moet in Plesk zijn geïnstalleerd door de hostingprovider.
U kunt het volgende doen om de DNS-gegevens van uw domeinen met DNSSEC te beveiligen:
- Onderteken domeinzones en hef de ondertekening op volgens de DNSSEC-specificaties
- (Optioneel) Geef aangepaste instellingen op voor het genereren van sleutels
- Meldingen ontvangen
- Bekijk en kopieer DS-records
- Bekijk en kopieer DNSKEY-recordsets.
Een domeinzone ondertekenen
Om te beginnen met het gebruik van DNSSEC voor uw DNS-zone, ondertekent u deze zone. Plesk ondertekent de zone met automatisch gegenereerde handtekeningen aan de hand van twee paar asymmetrische sleutels: de Key Signing Key (KSK) en de Zone Signing Key (ZSK).
Een domeinzone ondertekenen:
-
Selecteer het domein onder Websites & domeinen.
-
Ga naar DNSSEC en klik op De DNS-zone ondertekenen.
-
Als de zone nog niet eerder is ondertekent, dan vraagt Plesk u om de sleutels te genereren waarmee de handtekening zal worden aangemaakt.
U kunt de standaardwaarden gebruiken of u kunt aangepaste waarden opgeven. Zie de Aanbevolen waarden hieronder.
-
Als u de DNS-zone al eerder hebt ondertekend, dan kunt u kiezen om de eerder aangemaakte sleutels te gebruiken of om nieuwe aan te maken. Als u kiest voor nieuwe sleutels, dan kunt u ofwel de standaardwaarden gebruiken, of u kunt aangepaste waarden opgeven. Zie de Aanbevolen waarden hieronder.
Aanbevolen waarden voor de KSK- en ZSK-instellingen:
-
Een lange sleutel en een lange overgangsperiode voor de KSK.
Steeds wanneer de Key Signing Key wordt bijgewerkt, moet u de DS-records in de bovenliggende zone bijwerken. De aanbevolen waarden helpen u het bijwerken van de DS-records zo min mogelijk noodzakelijk te maken zonder dat dit ten koste gaat van de veiligheid.
-
Een kortere sleutel en een kortere overgangsperiode voor de ZSK.
De Zone Signing Key wordt automatisch bijgewerkt. De aanbevolen waarden helpen u het systeem minder te belasten zonder dat dit ten koste gaat van de veiligheid.
-
-
Aan het eind van de ondertekening procedure toont Plesk de DS-records met de hashes van de Key Signing Keys die zijn gebruikt voor het ondertekenen van de zone.
Kopieer de DS-records naar het klembord en voeg ze vervolgens toe aan de bovenliggende domeinzone. Zie De DS-records in de bovenliggende zone bijwerken hieronder.
De DS-records in de bovenliggende zone bijwerken
Als de bovenliggende zone verouderde DS-records bevat, dat zal de domeinnaam niet langer beschikbaar zijn via de DNS-dienst.
U moet de DS-records in de bovenliggende domeinzone handmatig toevoegen of bijwerken in alle gevallen waarbij de DNSSEC-sleutels worden bijgewerkt, te weten:
- U hebt een domeinzone ondertekend met nieuw aangemaakte sleutels.
- Er heeft een KSK (Key Signing Key)-overgang plaatsgevonden.
Plesk stuurt u meldingen en geeft u enige tijd om de DS-records bij te werken - deze tijdperiode staat gelijk aan één KSK-overgangsperiode. In deze periode zijn de eerdere DS-records nog steeds geldig.
Als u de ondertekening van de domeinzone hebt opgeheven moet u de DS-records in de bovenliggende domeinzone handmatig verwijderen.
De DS-records in de bovenliggende zone bijwerken
Voor een domein in Plesk waarvan de bovenliggende domeinzone buiten Plesk wordt beheerd kunt u de DS-records bijwerken bij het bedrijf van de domeinregistratie.
Voor het subdomein van een domein dat in Plesk wordt gehost en waarvan de DNS-zone in Plesk wordt beheerd:
- Ga naar de DNS-instellingen van het bovenliggende domein (Websites & domeinen > ga naar het bovenliggende domein > DNS-instellingen).
- Voeg nieuwe records van het type DS toe (Record toevoegen) en plak de waarden die Plesk weergeeft in het veld DS-records in de DNSSEC-instellingen van het subdomein.
De ondertekening van een domeinzone opheffen
Het opheffen van de ondertekening van een domeinzone schakelt de DNSSEC-bescherming voor die zone uit. Het is bijvoorbeeld nodig om de ondertekening van een zone op te heffen als de sleutels zijn gecompromitteerd, waarna u de zone opnieuw moet ondertekenen met nieuwe sleutels.
De ondertekening van een domeinzone opheffen:
- Ga naar Websites & domeinen > selecteer een domein > DNSSEC en klik op Ondertekening opheffen.
- Verwijder de DS-records uit de bovenliggende zone. Het domein zal anders niet functioneren.
Notitie: Als u de ondertekening van een zone opheft, dan worden de sleutels niet uit Plesk verwijderd. U kunt de zone opnieuw ondertekenen met behulp van dezelfde sleutels.
De DNSKEY-records bekijken
Het is wellicht nodig de DNSKEY-records op te halen, waarin het openbare deel van de Key Signing Keys die door een domein worden gebruikt is opgeslagen.
DNSKEY-records weergeven:
- Ga naar Websites & domeinen > selecteer een domein > DNSSEC.
- Klik op DNSKEY-records bekijken.