Ik zoek de houder van een domeinnaam. Waar vind ik die?
Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).
Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.
Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?
Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.
Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?
Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.
Waarom staat mijn domeinnaam in quarantaine?
Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.
Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.
Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?
Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.
Waaraan moet ik voldoen als registrar?
Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.
DNSSEC-ondertekening en sleutelbeheer volledig geautomatiseerd
DNSSEC-ondertekening en sleutelbeheer volledig geautomatiseerd
BIND named 9.16 brengt nieuwe DNSSEC Policy functionaliteit
maandag 13 januari 2020
De ontwikkelaars van BIND named hebben de laatste stap in de automatisering van DNSSEC (-ondertekening) gezet. Vanaf versie 9.15.6 kunnen policies voor sleutelbeheer en de ondertekening van zones in het configuratiebestand named.conf worden gespecificeerd. De software zorgt dan zelf dat handtekeningen (RRSIG records) en ZSK/KSK-sleutelparen steeds up-to-date zijn. Daarmee verdwijnt de noodzaak om scripts en cron jobs in te zetten om je ondertekende zones actueel te houden.
Vanaf BIND named versie 9.15.6 kun je in named.conf een 'dnssec-policy' speciferen. Dat doe je door een statement als volgt in de zone-configuratie op te nemen:
zone "example.nl." {
type master;
file "db.example.nl";
dnssec-policy "dnssec-policy-1";
};
Die DNSSEC policy verwijst vervolgens naar een definitie in de globale configuratie:
dnssec-policy "dnssec-policy-1" {
...
}
Op pagina 136 van de BIND 9 Administrator Reference Manual (ARM) voor versie 9.15.7 en hier op de BIND wiki vind je voorbeelden van hoe een policy (KASP Configuration) er uit kan zien.
Ondertekening en roll-overs kunnen op deze manier volledig geautomatiseerd plaatsvinden, en nieuwe ZSK- en KSK-sleutelparen worden automatisch gegenereerd wanneer nodig.
De huidige vorm van sleutelbeheer werd in BIND named geïntroduceerd over de versies 9.7 tot en met 9.11, en beschrijven we uitgebreid in dit hands-on artikel. Dat begon met de automatische (her)ondertekening van zones in versies 9.7/9.8 ('auto-dnssec maintain'), welke in de versies 9.9/9.10 verder in de code base geïntegreerd werd (Inline-Signing).
Vanaf versie 9.11 werd ook het sleutelbeheer geautomatiseerd met behulp van het 'dnssec-keymgr'-commando en bijbehorende policy file. Daarmee werd de hele set-up van DNSSEC teruggebracht tot de configuratiebestanden van BIND, met alleen nog een laatste cron job voor het genereren van nieuwe sleutelparen (indien nodig) met behulp van het 'dnssec-keymgr'-commando.
Verademing
Het gebruik van DNSSEC met BIND versie 9.11 (en verder) was al een verademing vergeleken met de pre-9.7 versies waarbij DNSSEC wel ondersteund werd maar niets was geautomatiseerd. Dat betekende zelf scripts schrijven en cron jobs installeren, of de hele ondertekening bij BIND weghouden en de ondertekende zone files door OpenDNSSEC laten generen. In dat laatste geval hoefde BIND named deze ondertekende zones alleen (regelmatig) in te lezen en uit te serveren.
Volgens Mekking zullen beide methodes nog wel even naast elkaar blijven bestaan, maar is het de bedoeling om het 'dnssec-keymgr'-commando uiteindelijk uit te faseren. Ook Auto-DNSSEC en Inline-Signing zullen tezijnertijd verdwijnen. De bijbehorende opties 'auto-dnssec maintain;' en 'inline-signing yes;' die de meesten nu in hun configuratiebestand zullen hebben staan, zijn dan ook niet verenigbaar met een 'dnssec-policy'-configuratie (named-checkconf zal een foutmelding geven).
"Het idee achter DNSSEC Policy is dat alle DNSSEC (signing) opties bij elkaar in één statement staan, en dat de configuratie daarmee eenvoudiger wordt," aldus Mekking. "De DNSSEC Policy functionaliteit is nog niet compleet – zo ontbreekt bijvoorbeeld nog NSEC3 – maar deze missing features zullen in de loop van dit jaar nog aan versie 9.16 worden toegevoegd."
