NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2023D01 Uitrol DNSSEC
~~
{{htmlmetatags>
metatag-keywords=(dns dnssec bind powerdns security)
metatag-og:title=(Uitrol DNSSEC)
metatag-og:description=(
	In de periode januari/februari vinden er werkzaamheden plaats
	om alle (1500+) door NPO gehoste domeinen om te zetten naar DNSSEC.
	Hiermee wordt de security van de omgeving verbeterd; het wordt
	voor kwaadwillenden aanzienlijk moeilijker om bijvoorbeeld
	websites te kapen. Tegelijk hiermee wordt de software van het
	dns portal vervangen door een ander product.
	De omzetting gebeurt in 4 fases; eerst op 16 januari enkele
	noodzakelijke voorbereidingen. Dan van 23-26 januari activatie
	van DNSSEC op onze klassieke (BIND) DNS omgeving, gevolgd door
	van 20-23 februari activatie van de nieuwe dns portal en tot slot
	van 6-9 maart activatie van DNSSEC op de self service
	(PowerDNS) omgeving.
	)
}}
====== C2023D01 Uitrol DNSSEC ======
====== Aankondiging: Uitrol DNSSEC  ======
Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)

Wij vragen aandacht voor het volgende:
^weeknr	^datum	^actie	^
|3	|16 januari 2023	|Noodzakelijke voorbereidingen	|
|4	|23--26 januari 2023	|Activatie van [[https://www.icann.org/resources/pages/dnssec-what-is-it-why-important-2019-03-05-en|DNSSEC]] op de BIND DNS omgeving	|
|8	|20--23 februari 2023	|Overstap van de self-service [[https://dns.npohosting.nl/klantenpaneel/inloggen|DNS portal]] naar andere software, [[https://github.com/PowerDNS-Admin/PowerDNS-Admin|PowerDNS-Admin]]	|
|10	|6--9 maart 2023	|Activatie van [[https://www.icann.org/resources/pages/dnssec-what-is-it-why-important-2019-03-05-en|DNSSEC]] op de PowerDNS omgeving   |


Dit bericht is ter informatie. Er wordt geen downtime verwacht als
gevolg van deze werkzaamheden en het activeren van DNSSEC vraagt verder
geen acties op websites o.i.d. Wel is het nodig om een nieuwe login op
de self-service portal te activeren. Hier berichten we de betrokkenen
apart over.

Let op: Oorspronkelijk stonden de laatste 2 acties (overstap van
self-service DNS portal en activatie op de PowerDNS omgeving) twee weken
eerder geplanned, maar in verband met ziekte is dat 2 weken uitgesteld.

===== Waarom? =====
Wel/niet DNSSEC zit een beetje in hetzelfde rijtje als http vs https.
Het is een methode die ervoor zorgt dat domeinen veel beter beschermd
zijn tegen misbruik. Door DNSSEC te gebruiken is het voor kwaadwillenden veel
moeilijker om domein data onrechtmatig te manipuleren. Neem als
voorbeeld de website van je bank. Als een kwaadwillende erin slaagt om
DNS zodanig te manipuleren dat het IP adres van die website opeens wijst
naar een andere website die onder zijn/haar eigen beheer staat, dan
lijkt het dat je als gebruiker gewoon bij je eigen bank je
bankzaken aan het doen bent, terwijl in werkelijkheid je allemaal
vertrouwelijke gegevens zoals inlogcodes aan het delen bent met een andere
partij.

Nou is de publieke omroep geen bank natuurlijk, maar het overnemen van een
domein kan voor een omroep grote reputatieschade opleveren. Denk maar
aan het publiceren van onjuiste nieuwsberichten of mailflow die opeens
omgeleid wordt via een kwaadwillende partij.

Door DNSSEC te activeren zijn dit soort aanvallen een stuk moeilijker en
wordt dus het hele omroepbestel weer een stukje veiliger.

===== Noodzakelijke voorbereidingen =====
Team Hosting&Streaming beheert 2 DNS omgevingen:
  - [[https://www.isc.org/bind/|BIND]], dit is onze klassieke omgeving. Hier is geen self-service op mogelijk. Wijzigingen verlopen middels aanvragen via ons [[https://support.npohosting.nl/|ticketsysteem]].
  - [[https://www.powerdns.com/auth.html|PowerDNS]], dit is de nieuwere, self-service omgeving. Wijzigingen zijn mogelijk via het [[https://dns.npohosting.nl/|klantenpaneel]]

Op maandag 16 januari worden enkele noodzakelijke voorbereidingen gedaan
op de PowerDNS omgeving. De manier waarop domeinen gedeeld worden tussen
de primary en secondary servers verandert; het resolven van zogeheten
ALIAS records gebeurt dan enkel nog op de primary server en er wordt een
check mechanisme geactiveerd voor het geval de IP adressen wijzigen van
waar een ALIAS record naartoe wijst.

===== Activatie DNSSEC =====
In week 4 (23--26 januari) en week 10 (6--9 maart) zullen alle door
team Hosting&Streaming beheerde domeinen voorzien worden van DNSSEC.
In totaal gaat het om zo'n 1500 domeinen. Dat varieert van 101112.nl tot
zuurstofvoorruimdenkers.nl en alle domeinen die daar alfabetisch
tussenzitten. (o.a. npo.nl, maar ook allerlei domeinen van omroepen)

Omdat het over vrij veel domeinen gaat willen we dat gefaseerd
uitvoeren. In week 4 zijn de domeinen van onze non-self-service, BIND
omgeving aan de beurt. Van maandag tot en met donderdag worden er dagelijks een
paar honderd domeinen omgezet.

In week 10 is het de beurt aan de self-serice PowerDNS omgeving. Ook dan zullen
er maandag tot en met donderdag dagelijks enige tientallen tot honderd
domeinen omgezet worden.

==== Betrokken domeinen ====
Via [[https://dnschecker.org/ns-lookup.php|dnschecker.org]] kunt u zien
of een specifiek domein betrokken is in deze change.
Vul het gewenste domein in en kijk naar de nameservers die eruit komen
rollen:
  * Staat hier ''minnie.omroep.nl.'' tussen, dan draait het domein in de BIND omgeving.
  * Staat hier '' ns1.npohosting.nl'' tussen, dan draait het domein in de PowerDNS omgeving.
  * Staan beide nameservers niet genoemd, dan draait het domein elders en is het niet betrokken in deze change.

Checken of DNSSEC aanstaat voor een domein kan door de ''DNSKEY'' op te
vragen. Ook dat kan via
[[https://dnschecker.org/dnskey-lookup.php?|dnschecker.org]].

===== Een nieuw self-service panel =====
Op dit moment gebruiken we nog het HostFact self-service
panel. Echter, dit panel kan niet goed overweg met
DNSSEC. Daarom zullen we dit panel vervangen door het
[[https://github.com/PowerDNS-Admin/PowerDNS-Admin|PowerDNS-Admin]]
panel. Dit panel heeft een aantal voordelen boven het oude panel:
  * Het kan //wel// omgaan met DNSSSEC.
  * Er kunnen meerdere accounts per omroep aangemaakt worden.
  * Er is betere logging van wijzigingen.
  * Er vindt betere inputvalidatie plaats.
  * Er is een API om geautomatiseerd wijzigingen te kunnen doen.

Omdat het voor dit panel nodig is nieuwe gebruikers aan te maken, nemen
we contact op met de betrokkenen voor het uitdelen van de credentials.
De vervanging van het self-service panel staat geplanned voor week 8,
20--23 februari.

===== Opt-out =====
Het is wel wenselijk, maar niet noodzakelijk om DNSSEC op alle domeinen
te activeren. Zonder tegenbericht zullen we dit wel doen, maar indien er
domeinen zijn waar u liever geen DNSSEC op heeft, neem dan over contact
met ons op, dan slaan we die domeinen over.


===== Bereikbaarheid =====
Team Hosting&Streaming is gedurende het
onderhoud via de normale kanalen bereikbaar. Zie
[[:contact|de contact pagina]]