Hoe stel je een DS-record in voor je domein?

Een DS-record (Delegation Signer) identificeert de DNSSEC-signing key van een gedelegeerde zone, zoals een subdomein dat op externe nameservers wordt gehost. Het record maakt deel uit van de DNSSEC-beveiligingsketen (Chain of Trust), waarmee wordt gecontroleerd of de DNSSEC-gegevens van een domein of subdomein betrouwbaar zijn.

Wat is een DS-record en wanneer gebruik je het?

• Doel: Een DS-record verwijst naar de DNSSEC-gegevens van een subdomein dat wordt beheerd door externe nameservers. Hiermee kan worden gecontroleerd of de gegevens van het subdomein beveiligd en betrouwbaar zijn.
• Gebruik: Het is alleen nodig om een DS-record in te stellen wanneer je subdomein via externe nameservers wordt beheerd. In alle andere gevallen wordt DNSSEC automatisch geregeld door de standaard nameservers van URL.nl.

Belangrijk:

• Gebruik een DS-record alleen wanneer je voor een subdomein NS-records hebt ingesteld die naar externe nameservers verwijzen.
• De DNSSEC-configuratie voor het subdomein moet worden uitgevoerd op de externe nameservers. Raadpleeg hiervoor de handleiding van de betreffende nameserver-software.

Hoe stel je een DS-record in?

Naam

• Het Naam-veld bevat de naam van het subdomein waarvoor je het DS-record instelt.
• Voer alleen het subdomein in (bijvoorbeeld subdomein) en niet de volledige domeinnaam.

TTL (Time To Live)

• Stel de TTL in op een korte waarde, zoals 1 uur (3600 seconden), zodat wijzigingen snel zichtbaar worden.

Type

• Kies DS als type record.

Waarde

De waarde van een DS-record bestaat uit vier componenten, die in de juiste volgorde moeten worden ingevuld, gescheiden door spaties:

1. Key Tag: Een unieke identificatie van de DNSSEC-signing key (meestal een getal van 3-5 cijfers).
2. Algoritme: Het algoritme dat wordt gebruikt voor de DNSSEC-signing (bijvoorbeeld 5 voor RSA/SHA-1).
3. Digest Type: Het algoritme dat wordt gebruikt voor het genereren van de hash (bijvoorbeeld 2 voor SHA-256).
4. Digest: De cryptografische hash van de DNSSEC-gegevens, gegenereerd door de software waarmee je subdomein is gesigned.

Voorbeeldwaarde:
15288 5 2 CE0EB9E59EE1DE2C681A330E3A7C08376F28602CDF990EE4EC88D2A8BDB51539

Belangrijke opmerkingen

1. Geen automatische generatie: De gegevens voor het DS-record (Key Tag, Algoritme, Digest Type, Digest) worden niet automatisch verstrekt. Je ontvangt deze van de software die je gebruikt om het subdomein op externe nameservers te signen met DNSSEC.
2. Geen DS-record nodig voor standaard nameservers: Als je de standaard nameservers van URL.nl gebruikt, is het instellen van DS-records niet nodig. DNSSEC wordt in dat geval automatisch geregeld.
3. Externe nameservers: Bij gebruik van externe nameservers voor een subdomein ben je verantwoordelijk voor het configureren van DNSSEC op die servers en het genereren van het bijbehorende DS-record.
4. Verwerkingstijd: Houd er rekening mee dat wijzigingen in DNS-records tot 24 uur kunnen duren voordat ze wereldwijd actief zijn.

Samenvatting

Een DS-record is essentieel voor de DNSSEC-beveiliging van subdomeinen die via externe nameservers worden beheerd. Zorg ervoor dat je de juiste gegevens invoert en dat het subdomein correct met DNSSEC is gesigned op de externe nameservers.

Voor meer informatie over DNSSEC en andere DNS-records, bekijk aanvullende handleidingen zoals:

• Wat is DNSSEC?
• Wat zijn DNS en nameservers?

Heb je nog vragen?

Neem gerust contact op met onze supportafdeling. Zij helpen je graag verder.