aankondigingen:2025:c2025d17-afscheid-auto-dnssec-bind

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
aankondigingen:2025:c2025d17-afscheid-auto-dnssec-bind [2025/11/24 13:01] – [Lijst van betrokken domeinen] dickaankondigingen:2025:c2025d17-afscheid-auto-dnssec-bind [2025/11/24 14:52] (current) – external edit 127.0.0.1
Line 23: Line 23:
   - DNSSEC onderhoud on-prem DNS omgeving   - DNSSEC onderhoud on-prem DNS omgeving
  
-==== DNSSEC onderhoud on-prem DNS omgeving ====+===== DNSSEC onderhoud on-prem DNS omgeving =====
 Op maandag 1 december, om 11:00 vindt er onderhoud plaats aan Op maandag 1 december, om 11:00 vindt er onderhoud plaats aan
 de on-prem DNS omgeving. Dit onderhoud heeft geen impact op de on-prem DNS omgeving. Dit onderhoud heeft geen impact op
Line 38: Line 38:
  
 ==== Achtergrond ==== ==== Achtergrond ====
-DNSSEC is een techniek om ... +[[https://www.sidn.nl/en/modern-internet-standards/dnssec|DNSSEC]] is een 
-FIXME+techniek om een digitale handtekening aan DNS data toe te voegen 
 +zodat de gebruiker de authenticiteit ervan vast kan stellen. 
 +Dit zorgt ervoor dat DNS data niet door kwaadwillenden nagemaakt 
 +("gespooft") kan worden en is hiermee een nuttige toevoeging op een andere 
 +veelgebruikte internet internet techniek zoals 
 +[[https://en.wikipedia.org/wiki/Transport_Layer_Security|TLS]]
 +Vrijwel alle domeinen die NPO Hosting&Streaming beheerd hebben DNSSEC 
 +enabled en zijn daarmee dus beveiligd tegen namaakpogingen. 
 + 
 +NPO H&S beheert ruim 1500 domeinnamen. Deze zijn verdeeld over 2 
 +omgevingen, één op basis van software genaamd 
 +[[https://www.powerdns.com/powerdns-community|PowerDNS]] (+/- 500 
 +domeinen, cloud) en een andere op basis van software genaamd 
 +[[https://www.isc.org/bind/|BIND]] (+/- 1000 domeinen, on-prem) 
 +Deze aankondiging betreft enkel de BIND omgeving.  
 + 
 +DNSSEC werkt op basis van 
 +[[https://en.wikipedia.org/wiki/Public-key_cryptography|public key 
 +cryptografie]], waarbij de betrokken domeinen getekend zijn met een 
 +(geheime) sleutel. De bijbehorende publieke sleutel wordt in het domein 
 +zelf gepubliceerd. In combinatie met een 
 +[[https://en.wikipedia.org/wiki/Chain_of_trust|chain of trust]] zorgt 
 +dat ervoor dat de inhoud van elk domein geverifieerd kan worden. 
 +De sleutels wordt per domein aangemaakt; elk domein heeft dus z'n eigen 
 +publieke en geheime sleutel. 
 + 
 +In de BIND versie die team H&S daar nu nog voor gebruikt (9.18) wordt het 
 +ondertekenen geregeld door een configuratieoptie genaamd 
 +[[https://bind9.readthedocs.io/en/v9.18.13/reference.html#namedconf-statement-auto-dnssec|auto-dnssec]]. 
 +Echter, deze optie is deprecated en wordt niet meer ondersteund in de 
 +nieuwste BIND LTS versie (9.20). Hiervoor in de plaats is een 
 +configuratieoptie genaamd 
 +[[https://bind9.readthedocs.io/en/v9.18.13/reference.html#namedconf-statement-dnssec-policy|dnssec-policy]] gekomen. 
 +Om ervoor te zorgen dat in de toekomst BIND bij H&S op de nieuwste LTS 
 +versie kan draaien is het nodig om de betrokken configuratie aan te 
 +passen. 
 + 
 +Concreet zijn hier de volgende wijzigingen voor nodig: 
 +  * Alle reeds bestaande sleutelparen worden uitgebreid met enige 
 +  configuratie die nodig is voor de werking van ''dnssec-policy'' 
 +  * Alle domeinen worden omgezet van ''auto-dnssec'' naar 
 +  ''dnssec-policy''
 + 
 +Dit gebeurt volledig transparant voor alle gebruikers. DNS resolving 
 +en validatie van sleutels wordt niet onderbroken. 
 + 
 +M.a.w. deze wijziging is wel nodig om in de toekomst DNSSEC aan te 
 +kunnen blijven bieden, maar is niet merkbaar voor de gebruikers. 
 + 
 +===== Bereikbaarheid ===== 
 +Team Hosting&Streaming is gedurende al het onderhoud via de normale 
 +kanalen bereikbaar. Zie de [[:contact|contact pagina]].
  
  • aankondigingen/2025/c2025d17-afscheid-auto-dnssec-bind.txt
  • Last modified: 2025/11/24 14:52
  • by 127.0.0.1