Hoe stel je een TLSA-record in voor je domein?

Een TLSA-record (Transport Layer Security Authentication) wordt gebruikt om een TLS-server (X.509-certificaat) of 'public key' te koppelen aan een domeinnaam. Dit creëert een beveiligde verbinding door een 'TLSA certificate association' op te zetten. Het instellen van een TLSA-record is een geavanceerde taak en vereist een goed begrip van TLS-configuratie.

Wat is een TLSA-record?

• Een TLSA-record koppelt een certificaat of public key aan een specifieke domeinnaam en maakt deel uit van DNSSEC.
• Het wordt gebruikt om de integriteit en authenticiteit van TLS-certificaten te valideren.
• Het record wordt vaak toegepast bij geavanceerde beveiligingsmaatregelen.

Belangrijk: Zorg dat je bekend bent met het opzetten van TLS-servers en het genereren van X.509-certificaten voordat je TLSA-records instelt.

Hoe stel je een TLSA-record in?

Naam

• Voor een TLSA-record begint de naam met het poortnummer en het transportprotocol.
• Voor het rootdomein: Voeg alleen het poortnummer en transportprotocol toe (bijvoorbeeld 443._tcp).
• Voor een subdomein: Voeg het poortnummer, transportprotocol en het subdomein toe (bijvoorbeeld 443._tcp.subdomein).
• Sluit de naam niet af met een punt.

TTL (Time To Live)

• Stel de TTL in op een korte waarde, zoals 300 seconden (5 minuten), om wijzigingen snel door te voeren.

Type

• Kies TLSA als recordtype.

Waarde

De waarde van een TLSA-record bestaat uit de volgende onderdelen, die in de juiste volgorde moeten worden opgegeven:

1. Usage Field: Bepaalt hoe het record wordt gebruikt (bijvoorbeeld 0 voor Certificate Authority Constraint).
2. Selector Field: Geeft aan welk deel van het certificaat wordt gebruikt (bijvoorbeeld 0 voor het volledige certificaat).
3. Matching-Type Field: Specificeert de hash-algoritme (bijvoorbeeld 1 voor SHA-256).
4. Hash: De hash van het X.509-certificaat, bijvoorbeeld d2abde240d7cd3ee6b4b28c54df034b97983a1d16e8a410e4561cb106618e971.

Voorbeeldwaarde:
0 0 1 d2abde240d7cd3ee6b4b28c54df034b97983a1d16e8a410e4561cb106618e971

Tips voor het instellen van een TLSA-record

• Gebruik een TLSA-record generator, zoals die van Shumon Huque, om fouten te voorkomen bij het opstellen van het record.
• Raadpleeg de officiële RFC-documentatie over TLSA-records voor gedetailleerde uitleg en voorbeelden.
• Zorg ervoor dat DNSSEC is ingeschakeld voor je domein, omdat TLSA-records alleen werken in combinatie met DNSSEC.

Belangrijke opmerkingen

• Complexiteit: TLSA-records zijn voor gevorderde gebruikers en vereisen een gedegen kennis van TLS en DNSSEC.
• Geen ondersteuning: Voor ondersteuning bij de configuratie van TLS-servers en certificaten raadpleeg je de documentatie van je TLS-software of externe bronnen.
• Verwerkingstijd: Houd er rekening mee dat wijzigingen in DNS-records tot 24 uur kunnen duren voordat ze wereldwijd actief zijn.

Heb je nog vragen?

Neem gerust contact op met onze supportafdeling. Zij helpen je graag verder.