Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

Wij vragen aandacht voor het volgende:

Dit bericht is ter informatie. Er wordt geen downtime verwacht als gevolg van deze werkzaamheden en het activeren van DNSSEC vraagt verder geen acties op websites o.i.d. Wel is het nodig om een nieuwe login op de self-service portal te activeren. Hier berichten we de betrokkenen apart over.

Let op: Oorspronkelijk stonden de laatste 2 acties (overstap van self-service DNS portal en activatie op de PowerDNS omgeving) twee weken eerder geplanned, maar in verband met ziekte is dat 2 weken uitgesteld.

Wel/niet DNSSEC zit een beetje in hetzelfde rijtje als http vs https. Het is een methode die ervoor zorgt dat domeinen veel beter beschermd zijn tegen misbruik. Door DNSSEC te gebruiken is het voor kwaadwillenden veel moeilijker om domein data onrechtmatig te manipuleren. Neem als voorbeeld de website van je bank. Als een kwaadwillende erin slaagt om DNS zodanig te manipuleren dat het IP adres van die website opeens wijst naar een andere website die onder zijn/haar eigen beheer staat, dan lijkt het dat je als gebruiker gewoon bij je eigen bank je bankzaken aan het doen bent, terwijl in werkelijkheid je allemaal vertrouwelijke gegevens zoals inlogcodes aan het delen bent met een andere partij.

Nou is de publieke omroep geen bank natuurlijk, maar het overnemen van een domein kan voor een omroep grote reputatieschade opleveren. Denk maar aan het publiceren van onjuiste nieuwsberichten of mailflow die opeens omgeleid wordt via een kwaadwillende partij.

Door DNSSEC te activeren zijn dit soort aanvallen een stuk moeilijker en wordt dus het hele omroepbestel weer een stukje veiliger.

Team Hosting&Streaming beheert 2 DNS omgevingen:

1. BIND, dit is onze klassieke omgeving. Hier is geen self-service op mogelijk. Wijzigingen verlopen middels aanvragen via ons ticketsysteem.
2. PowerDNS, dit is de nieuwere, self-service omgeving. Wijzigingen zijn mogelijk via het klantenpaneel

Op maandag 16 januari worden enkele noodzakelijke voorbereidingen gedaan op de PowerDNS omgeving. De manier waarop domeinen gedeeld worden tussen de primary en secondary servers verandert; het resolven van zogeheten ALIAS records gebeurt dan enkel nog op de primary server en er wordt een check mechanisme geactiveerd voor het geval de IP adressen wijzigen van waar een ALIAS record naartoe wijst.

In week 4 (23–26 januari) en week 10 (6–9 maart) zullen alle door team Hosting&Streaming beheerde domeinen voorzien worden van DNSSEC. In totaal gaat het om zo'n 1500 domeinen. Dat varieert van 101112.nl tot zuurstofvoorruimdenkers.nl en alle domeinen die daar alfabetisch tussenzitten. (o.a. npo.nl, maar ook allerlei domeinen van omroepen)

Omdat het over vrij veel domeinen gaat willen we dat gefaseerd uitvoeren. In week 4 zijn de domeinen van onze non-self-service, BIND omgeving aan de beurt. Van maandag tot en met donderdag worden er dagelijks een paar honderd domeinen omgezet.

In week 10 is het de beurt aan de self-serice PowerDNS omgeving. Ook dan zullen er maandag tot en met donderdag dagelijks enige tientallen tot honderd domeinen omgezet worden.

Via dnschecker.org kunt u zien of een specifiek domein betrokken is in deze change. Vul het gewenste domein in en kijk naar de nameservers die eruit komen rollen:

• Staat hier minnie.omroep.nl. tussen, dan draait het domein in de BIND omgeving.
• Staat hier ns1.npohosting.nl tussen, dan draait het domein in de PowerDNS omgeving.
• Staan beide nameservers niet genoemd, dan draait het domein elders en is het niet betrokken in deze change.

Checken of DNSSEC aanstaat voor een domein kan door de DNSKEY op te vragen. Ook dat kan via dnschecker.org.

Op dit moment gebruiken we nog het HostFact self-service panel. Echter, dit panel kan niet goed overweg met DNSSEC. Daarom zullen we dit panel vervangen door het PowerDNS-Admin panel. Dit panel heeft een aantal voordelen boven het oude panel:

• Het kan wel omgaan met DNSSSEC.
• Er kunnen meerdere accounts per omroep aangemaakt worden.
• Er is betere logging van wijzigingen.
• Er vindt betere inputvalidatie plaats.
• Er is een API om geautomatiseerd wijzigingen te kunnen doen.

Omdat het voor dit panel nodig is nieuwe gebruikers aan te maken, nemen we contact op met de betrokkenen voor het uitdelen van de credentials. De vervanging van het self-service panel staat geplanned voor week 8, 20–23 februari.

Het is wel wenselijk, maar niet noodzakelijk om DNSSEC op alle domeinen te activeren. Zonder tegenbericht zullen we dit wel doen, maar indien er domeinen zijn waar u liever geen DNSSEC op heeft, neem dan over contact met ons op, dan slaan we die domeinen over.

Team Hosting&Streaming is gedurende het onderhoud via de normale kanalen bereikbaar. Zie de contact pagina