DNSSEC (Domain Name System Security Extensions) is een reeks IETF specificaties (RFC 4033, 4034 en 4035, maart 2005) die cryptografische handtekeningen toevoegt aan DNS records. Zonder DNSSEC kan een resolver niet verifieren dat een DNS antwoord werkelijk van de autoritatieve server komt en onderweg niet is gewijzigd. Daardoor zijn cache poisoning, DNS spoofing en man in the middle aanvallen mogelijk. Met DNSSEC wordt elke record set ondertekend met een prive sleutel van de zone eigenaar en valideert de resolver met de bijbehorende publieke sleutel. De root zone is ondertekend sinds 15 juli 2010. In 2025 ondersteunen meer dan 90 procent van de landen ccTLDs en alle grote gTLDs (com, net, org, info, biz) DNSSEC. Adoptie op domeinniveau verschilt sterk per land: Nederland, Zweden, Tsjechie en Noorwegen liggen boven 60 procent, veel andere landen blijven onder 5 procent.
Hoe werkt DNSSEC?
- DNSKEY: publieke sleutels. ZSK tekent records, KSK tekent de DNSKEY set.
- RRSIG: digitale handtekening per record set.
- DS (Delegation Signer): hash van de child KSK, gepubliceerd in de parent zone. Sluit de keten van vertrouwen.
- NSEC of NSEC3: bewijst niet bestaan van een record. NSEC3 hasht namen.
De validerende resolver start bij de root, controleert de root KSK tegen een ingebakken trust anchor (root key, laatst gerouleerd oktober 2018 van KSK 19036 naar KSK 20326), en volgt de keten via de TLD tot de bevraagde zone. Een ontbrekende of foute handtekening geeft SERVFAIL.
Welke aanvallen voorkomt DNSSEC?
- Cache poisoning, Kaminsky aanval 2008.
- DNS spoofing op publieke WiFi of vijandige ISP.
- Gevolgen van BGP hijacks.
- Gecompromitteerde autoritatieve server (beperkte bescherming).
Wat DNSSEC NIET doet
- Versleutelt geen DNS queries. Daarvoor DoH (RFC 8484) of DoT (RFC 7858).
- Beschermt de laatste mijl niet tenzij de client zelf valideert.
- Stopt geen DDoS, versterkt amplification zelfs.
- Authenticeert de website niet. Dat doet TLS.
DNSSEC activeren
- Kies DNS provider met DNSSEC: Cloudflare, AWS Route 53 (december 2020), Google Cloud DNS, Azure DNS (2024), DNSimple, Hurricane Electric, Namecheap, Gandi, OVH, INWX, Hetzner, Porkbun, TransIP.
- Activeer DNSSEC in het paneel.
- Kopieer het DS record.
- Plak het bij de registrar.
- Wacht tot 48 uur en valideer met
dig +dnssec jouwdomein.nl A.
DNSSEC verifieren
- Online: DNSViz, Verisign DNSSEC Debugger, Internet.nl, MxToolbox.
- Command line:
dig +dnssec example.nlofdelv example.nl. - Browser: extensie "DNSSEC/TLSA Validator" van CZ.NIC.
Algoritmes
| Nr. | Algoritme | Status |
|---|---|---|
| 5 | RSA/SHA 1 | Verouderd |
| 8 | RSA/SHA 256 | Veelgebruikt |
| 10 | RSA/SHA 512 | Grotere handtekeningen |
| 13 | ECDSA P 256 | Aanbevolen modern |
| 14 | ECDSA P 384 | Hoger niveau |
| 15 | Ed25519 | Modern en compact |
| 16 | Ed448 | Hoge beveiliging |
Key rollover
ZSK elke 1 tot 3 maanden, KSK elke 1 tot 2 jaar. Eerste root KSK rollover in oktober 2018. Volgende root rollover gepland door ICANN voor 2026 of 2027.
DNSSEC en DANE
DANE (RFC 6698, augustus 2012) gebruikt door DNSSEC ondertekende TLSA records om TLS certificaat fingerprints in DNS te publiceren. Veel gebruikt bij SMTP (Mail.de, Posteo, Mailbox.org). Nooit doorgebroken in HTTPS browsers.
DNSSEC en DoH
- DNSSEC garandeert authenticiteit.
- DoH garandeert vertrouwelijkheid.
Cloudflare 1.1.1.1, Google 8.8.8.8 en Quad9 9.9.9.9 valideren DNSSEC en bieden DoH/DoT.
Veelgemaakte fouten
- DS niet bijwerken na een rollover.
- Wisselen van provider zonder DNSSEC te coordineren.
- Algoritme dat niet door alle resolvers wordt ondersteund.
- Handtekening verloop niet monitoren.
- DNSSEC verwarren met HTTPS of met SPF/DKIM/DMARC.
Hoe helpt InspectWP met DNSSEC?
InspectWP bevraagt de DNS records van elk geanalyseerd domein en meldt of de response DNSSEC handtekeningen en een geldige keten van vertrouwen draagt.