Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

De implementatie van DNSSEC op Infoblox, PowerDNS, BIND en Unbound

Hands-on artikelen om zelf aan de slag te gaan

  • maandag 20 januari 2020

We hebben in de loop der tijd een hele serie hands-on artikelen gepubliceerd over zowel de DNSSEC-ondertekening op autoritatieve DNS-servers als de validatie op (caching) resolvers. Je vindt ze allemaal bij elkaar in onze DNSSEC-hoek.

Verbeteringen na security audit doorgevoerd in Unbound versie 1.9.6 DNSSEC-ondertekening en sleutelbeheer volledig geautomatiseerd

De meest gehoorde sta-in-de-weg bij de implementatie van DNSSEC is dat het te ingewikkeld is. Hoewel de software over de jaren heen steeds meer van die complexiteit uit handen van de systeembeheerder heeft genomen, is een goed begrip van zowel de concepten van DNSSEC als de (nieuwe) configuratie-opties een must. Omdat deze hands-on artikelen achtergrondinformatie over de DNSSEC-technologie combineren met een concreet recept voor de implementatie op specifieke software, leek het ons goed deze reeks nog eens onder de aandacht te brengen.

Overzicht

De twee tabellen hieronder geven je een overzicht van de beschikbare artikelen voor het opzetten van respectievelijk de ondertekening en de validatie voor de meest gebruikte DNS-software. We zullen deze handleidingen bij tijd en wijle een update geven voor nieuwe versies. Daaronder tref je een overzicht waarin we de belangrijkste kenmerken van deze software-pakketten benoemen. Moet je nog kiezen voor een DNS(SEC)-oplossing, dan komt dit overzicht hopelijk van pas bij het maken van je afweging.

DNSSEC-ondertekening op autoritatieve servers

software versie opmerkingen
Infoblox NIOS 8.2.2 OVA image draaiend op VMware ESXi versie 6.5.0
BIND named 9.11/9.12 update voor versie 9.15/9.16
PowerDNS Authoritative Server 4.1.13

DNSSEC-validatie op caching resolvers

software versie opmerkingen
Unbound en DNSSEC-Trigger 1.6.6 fixes van recente security audit opgenomen in versie 1.9.5/1.9.6
Infoblox NIOS 8.2.2 OVA image draaiend op VMware ESXi versie 6.5.0
PowerDNS Recursor 4.18
BIND named 9.11

DNSSEC-ondertekening op autoritatieve servers

  • Infoblox appliance Deze kant-en-klare systemen worden met name gebruikt door grote commerciële organisaties. De ondertekening van een zone is slechts een kwestie van aanklikken. Beide keren dat we deze appliance hebben bekeken (de laatste keer was zomer 2018) moesten we echter concluderen dat de software ernstig verouderd was.

  • BIND named BIND named is de de facto standaard op Linux en andere Unix-achtige systemen, en daarmee de meest gebruikte DNS-server. Vanaf versie 9.11 is ook het sleutelbeheer volledig te automatiseren. Daarmee zijn losse scripts en cron jobs of de inzet van OpenDNSSEC niet meer nodig. Na de initiële configuratie lopen het genereren van sleutelparen, het ondertekenen van zone files, het rollen van sleutels en het beheer van sleutels allemaal vanzelf.

  • PowerDNS Authoritative Server PowerDNS is een Nederlands (open source) product dat zijn grote doorbraak te danken heeft aan de implementatie van DNSSEC. Waar de ondertekening van domeinen op andere autoritatieve servers destijds nogal wat voeten in de aarde had, hanteerde PowerDNS vanaf het begin een 'flick the switch'-aanpak. Andere onderscheidende kenmerken zijn de schaalbaarheid en snelheid. Vrijwel alle grote Internet Service Providers die hun domeinen in bulk ondertekenden, deden dat dan ook op basis van de Authoritative Server. Hoewel de software een mooie architectuur heeft, kan het door de uitgebreidheid ervan wel even duren voordat je je weg hebt gevonden.

DNSSEC-validatie op caching resolvers

  • Unbound en DNSSEC-Trigger Ook de validerende resolver Unbound is een Nederlands (open source) pakket. Heb je alleen een validerende resolver nodig, dan is Unbound waarschijnlijk een betere optie dan BIND named, en zeker veel beter dan de stub resolvers die met Linux of Windows worden meegeleverd. De software is compact en snel, en is inmiddels de standaard resolver op diverse Linux-distributies, alsook op FreeBSD and OpenBSD. In combinatie met DNSSEC-Trigger biedt Unbound bovendien een hele makkelijke oplossing voor end-to-end validatie door mobiele gebruikers.

  • Infoblox appliance Voor de configuratie van DNSSEC-validatie op een Infoblox appliance hoef je op recentere versies van NIOS in principe niet meer te doen dan de default-instellingen te controleren. Deze mogelijkheid is wat ons betreft echter alleen relevant voor organisaties die al Infoblox in huis hebben. Beide keren dat we deze appliance hebben bekeken moesten we namelijk concluderen dat de software in ieder geval wat DNSSEC betreft ernstig verouderd was.

  • PowerDNS Recursor PowerDNS is een Nederlands (open source) product dat zijn grote doorbraak te danken heeft aan de implementatie van DNSSEC. De Recursor ondersteunt DNSSEC-validatie vanaf versie 4.0. Het belangrijkste onderscheid met de Unbound resolver is dat de instellingen in het configuratiebestand zich beperken tot bekende server-aangelegenheden, terwijl de configuratie van Unbound bestaat uit één lange lijst van zowel opties voor server- als DNSSEC/protocol-specifieke zaken. Wil je meer van de PowerDNS Recursor, dan kan dat door het inladen van aparte startup/run-time programma's voor de ingebouwde Lua engine.

  • BIND named BIND named kan fungeren als (autoritatieve) name-server en/of (caching) resolver. Omdat de software met de ontwikkeling van DNSSEC is meegeëvolueerd, is net als bij de ondertekening ook voor de validatie de geboden functionaliteit sterk afhankelijk van de software-versie. Heb je alleen een validerende resolver nodig, dan is Unbound waarschijnlijk een betere optie.

Dit bericht verwijst naar de evaluatie van zes veelgebruikte validerende resolvers door Tore Anderson. Unbound en de Knot Resolver worden door hem sterk aanbevolen. De laatste versies van PowerDNS Recursor en BIND named doen hun werk ook goed, maar hebben volgens Anderson geen meerwaarde boven Unbound en de Knot Resolver.