DNSSEC is een beveiligingsuitbreiding op het bestaande DNS protocol waarmee DNS zones worden voorzien van een cryptografische versleuteling. In de praktijk betekend dit dat het veel moeilijker wordt voor hackers om een domeinnaam om te leiden naar een gecompromitteerde server.
De nameservers van Oni ondersteunen DNSSEC out-of-the-box. Daarmee is voor alle domeinnamen die onder ons beheer staan deze functie standaard ingeschakeld. Als DNSSEC actief is voor je domein dan zie je bij "Authoritative Nameserver" deze regel staan:
🔒 DNSSEC beveiligd
Mocht je gebruik maken van externe nameservers, dan kan het zijn dat DNSSEC niet kan worden ondersteund voor jouw domein. Zoek dan contact met je webdevelopper of de beheerders van die externe nameservers.
Zo werk het
Vereenvoudigd weergegeven werkt DNSSEC als volgt:
1. De authoritative nameserver (bijvoorbeeld die van Oni) bevat een privé sleutel waarmee het de resource records van een domein signeert
2. De bijbehorende publieke sleutel wordt via de tld-registry van het domein (bijvoorbeeld de SIDN) beschikbaar gemaakt
3. Aan de hand van de publieke sleutel kunnen de DNS records signatures worden geverifieerd op echtheid en weet de eindgebruiker dat zijn/haar DNS query een valide resultaat heeft opgeleverd
Een uitgebreide uitleg over de werking en het belang van DNSSEC vind je in dit artikel van het ICANN.
Testen
Om te zien of de chain-of-trust voor jouw domeinnaam correct is ingesteld kun je gebruik maken van de DNSSEC Analyzer van Verisign.