Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Actuele aanbevelingen DNSSEC-algoritmen voortaan centraal bij IANA gepubliceerd

Doel is eenduidige referenties en snellere updates

Futuristische achtergrond met hangslot op digitaal geïntegreerd circuit
  • vrijdag 7 februari 2025

De aanbevelingen voor de cryptografische algoritmen van het DNSSEC-protocol verhuizen uit de RFC's naar het IANA-register. Een voorstel hiertoe wordt binnenkort zelf gepubliceerd als RFC.

De belangrijkste reden voor deze aanpassing is dat het hiermee makkelijker wordt om naar de meest recente aanbevelingen te refereren. Bovendien kunnen de aanbevelingen zo sneller geüpdatet worden.

Tot nu toe worden de aanbevelingen voor de toepassing, ondersteuning en implementatie van de cryptografische DNSSEC-algoritmen gepubliceerd als integraal onderdeel van een RFC. De laatste officiële aanbevelingen vinden we in RFC 8624, die we in een eerder gepubliceerd artikel uitgebreid behandelen.

Inmiddels is er een update op deze RFC in de maak, waarmee alle DNSSEC-algoritmen gebaseerd op de verouderde SHA-1 hashfunctie uitgefaseerd worden.

Centraal register

Het nieuwe voorstel (nu nog met de werknaam 'rfc8624 bis') wil de aanbevelingen uit de RFC's naar het IANA-register verhuizen. Concreet gaat het om de aanbevelingen zoals die in de secties 3.1 (DNSKEY-algoritmen) en 3.2 (DS-algoritmen) van RFC 8624 worden gedaan. De 2 tabellen die je daar vindt, moeten dus naar het IANA-register verplaatst worden.

Kijken we naar de huidige DNSSEC-tabellen bij IANA [DNSKEY, DS], dan zien we dat deze nu niet veel meer zijn dan een opsomming van nummers, namen en statussen (dat laatste alleen voor de DS-algoritmen). In de toekomst moeten de aanbevelingen uit de tabellen van de RFC dus aan deze tabellen in het IANA-register worden toegevoegd. Toekomstige RFC's (en andere documenten) kunnen dan altijd naar deze tabellen refereren als zijnde de meest recente aanbevelingen.

Laatste (conservatieve) inzichten

Updates op deze aanbevelingen zullen gewoon als RFC gepubliceerd blijven worden en steeds in deze tabellen worden verwerkt. Dergelijke updates vinden nu eens in de paar jaar plaats. In de loop der tijd vallen immers bestaande algoritmen af (deprecated, want verouderd of onveilig) en komen er nieuwe algoritmen bij [1].

Doel van de aanbevelingen is uiteraard om te zorgen dat domeinnaamhouders en operators van autoritatieve nameservers naar de laatste (maar wel conservatieve) inzichten het meest veilige en efficiënte algoritme gebruiken, en dat validerende resolvers de daadwerkelijk toegepaste algoritmen ook ondersteunen (interoperabiliteit). Software-bouwers op hun beurt moeten zorgen dat verouderde en onveilige algoritmen uitgefaseerd worden (zodra de marktsituatie dat toestaat), en dat nieuwe algoritmen op tijd beschikbaar zijn voor hun gebruikers.

In de .nl-zone gebruikte algoritmes voor DNSSEC-beveiliging
https://images.ctfassets.net/yj8364fopk6s/2Y7Mz9Zy69mJRHyr3jTau4/f899b0e7291f92a7550c268d613dbcd5/stats.sidnlabs.nl-DNSSECalgoritmes-20250123.png

Formele vorm en inhoud

De vorm en inhoud van de tabellen in het IANA-register zijn echter een nogal formele aangelegenheid. Het voorstel 'rfc8624 bis' wil de volgende kolommen aan de bestaande tabellen toevoegen:

DNSKEY-algoritmen:

  • Use for DNSSSEC Signing

  • Use for DNSSSEC Validation

  • Implement for DNSSSEC Signing

  • Implement for DNSSSEC Validation

DS-algoritmen:

  • Use for DNSSSEC Delegation

  • Use for DNSSSEC Validation

  • Implement for DNSSSEC Delegation

  • Implement for DNSSSEC Validation

De eerste 2 kolommen zijn steeds bedoeld voor respectievelijk domeinnaamhouders/operators en DNS-dienstverleners. De laatste 2 kolommen zijn bedoeld voor ontwikkelaars van respectievelijk autoritatieve nameservers en validerende resolvers.

De aanbevelingen zelf kunnen de waarden 'MUST', 'MUST NOT', 'REQUIRED', 'SHALL', 'SHALL NOT', 'SHOULD', 'SHOULD NOT', 'RECOMMENDED', 'NOT RECOMMENDED', 'MAY' en 'OPTIONAL' krijgen. De formele betekenis van deze waarden is weer gedefinieerd in RFC 2119.

Actuele aanbevelingen

In de secties 3 en 4 van 'rfc8624 bis' vind je de volledige, actuele tabellen zoals die volgens het voorstel in het IANA-register moeten worden opgenomen. Waar dat voor domeinnaamhouders/operators op neerkomt is dat voor DNSKEY nummer 8, nummer 13 en nummer 15 in principe gebruikt kunnen worden. Wij raden nu echter iedereen aan om algoritme 13 toe te passen, iets dat wij zelf ook doen in de .nl-zone.

Voor het DS-algoritme wordt alleen nummer 2 nog aangeraden. Houders van .nl-domeinnamen hebben hier echter geen omkijken naar: Omdat wij houders niet om een DS-record maar om het DNSKEY-record vragen, genereren wij daaruit zelf al vanaf het begin een DS-record gebaseerd op algoritme nummer 2.

Meer informatie over de verschillende algoritmen en aanbevelingen vind je in onze DNSSEC FAQ.