Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

DNSSEC root KSK-rollover opnieuw opgestart

Sleutelpaar in de toekomst elke 3 jaar vernieuwd

Concept voor digitale security
  • dinsdag 16 juli 2024

ICANN heeft dit voorjaar een nieuw KSK-sleutelpaar voor de root zone gegenereerd. Dit is feitelijk een herstart van de rollover die vorig jaar al in gang was gezet.

In het najaar zal dit nieuwe KSK-2024 sleutelpaar gekopieerd worden naar het tweede datacenter. De daadwerkelijke rollover is nu gepland voor 2026. Het is de bedoeling om vanaf dat moment een driejaarlijkse rollovercyclus in te voeren. Voor de volgende rollover – in 2029 dus – staat ook een update van het cryptografische algoritme gepland.

De rollover van het huidige KSK-2017 naar het nieuwe KSK-2024 sleutelpaar was een jaar geleden al opgestart met het genereren van een nieuw KSK-2023 sleutelpaar. Nadat bekend werd dat de leverancier de ondersteuning van de huidige HSM-systemen zou stoppen, is ervoor gekozen om dit sleutelpaar niet over te zetten naar de nieuwe HSM's. Het genereren van een nieuw sleutelpaar op de nieuwe apparatuur is makkelijker en veiliger dan het overzetten van geheim sleutelmateriaal van het ene naar het andere systeem.

Nieuw trust anchor

Na het kopiëren van het nieuwe sleutelmateriaal naar de HSM op de tweede locatie dit najaar, is de volgende stap om de nieuwe publieke sleutel in de root zone naast het bestaande DNSKEY-record te publiceren. Vandaaruit vindt het dan zijn weg naar de resolversoftware, waar deze sleutel als trust anchor geïnstalleerd moet worden.

Voor een groot deel van de resolvers zal het nieuwe trust anchor gewoon meekomen met de reguliere software-updates. Andere resolvers zullen veelal gebruikmaken van het 'RFC 5011'-mechanisme om hun trust anchors automatisch op te laten waarderen.

De eerste rollover naar KSK-2017 vereiste destijds vaak nog handmatige installatie en configuratie om het nieuwe trust anchor op zijn plek te krijgen – en vooral meerdere zorgvuldige checks tijdens het rollover-proces. De verwachting is nu dat beheerders van validerende resolvers zich tijdens de nieuwe rollover kunnen beperken tot het volgen van het 'RFC 5011'-update-proces.

Versnellen en vernieuwen

Waar de levensduur van het root KSK-sleutelpaar in eerste instantie gepland was voor 5 jaar, is dat voor de eerste rollover aanzienlijk langer geworden. Behalve dat deze rollover veel later is begonnen, is ook tijdens het rollover-proces zelf nog een extra jaar ingelast om te verifiëren dat alle resolvers inderdaad van het nieuwe trust anchor waren voorzien. Gebruikers van een validerende resolver kunnen DNSSEC-beveiligde adressen immers niet meer bereiken als de oude chain of trust niet meer compleet is na de daadwerkelijke overstap naar het nieuwe trust anchor.

De bedoeling is om na deze nieuwe rollover een driejaarlijkse cyclus te gaan hanteren. Met een goede werking en grootschalige toepassing van het 'RFC 5011'-mechanisme tijdens deze rollover, zouden toekomstige rollovers voor het leeuwendeel van de resolvers inderdaad routine kunnen worden.

De transitie naar een nieuw cryptografisch algoritme – van het huidige RSA/SHA-256 (nummer 8) naar 'ECDSA Curve P-256 with SHA-256' (nummer 13) – staat nu gepland voor de rollover die dan in 2029 moet plaatsvinden. Zelf maakten wij deze overstap voor de .nl-zone vorige zomer.