aankondigingen:2025:c2025d17-afscheid-auto-dnssec-bind

no way to compare when less than two revisions

Differences

This shows you the differences between two versions of the page.


aankondigingen:2025:c2025d17-afscheid-auto-dnssec-bind [2026/02/26 02:25] (current) – created - external edit 127.0.0.1
Line 1: Line 1:
 +~~META:
 +title = C2025D17: DNSSEC onderhoud on-prem DNS omgeving
 +~~
 +{{htmlmetatags>
 +metatag-keywords=(DNS DNSSEC BIND auto-dnssec dnssec-policy)
 +metatag-og:title=(C2025D17: DNSSEC onderhoud on-prem DNS omgeving)
 +metatag-og:description=(
 + Op maandag 1 december, om 11:00 vindt er onderhoud plaats aan
 + de on-prem DNS omgeving. Dit onderhoud heeft geen impact op
 + de beschikbaarhed van de omgeving of de domeinen die in deze omgeving
 + draaien.
 + Er worden een aantal voorbereidingen getroffen
 + om de gebruikte software in een later stadium naar een nieuwe
 + Long Term Support (LTS) versie te kunnen upgraden.
 +)
 +}}
 +====== C2025D17: DNSSEC onderhoud on-prem DNS omgeving ======
 +Beste klant/collega,
 +
 +(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)
 +
 +Wij vragen aandacht voor het volgende:
 +  - DNSSEC onderhoud on-prem DNS omgeving
 +
 +===== DNSSEC onderhoud on-prem DNS omgeving =====
 +Op maandag 1 december, om 11:00 vindt er onderhoud plaats aan
 +de on-prem DNS omgeving. Dit onderhoud heeft geen impact op
 +de beschikbaarhed van de omgeving of de domeinen die in deze omgeving
 +draaien.
 +Er worden een aantal voorbereidingen getroffen
 +om de gebruikte software in een later stadium naar een nieuwe
 +Long Term Support (LTS) versie te kunnen upgraden.
 +
 +==== Lijst van betrokken domeinen ====
 +De lijst van betrokken domeinen staat
 +{{:aankondigingen:2025:bind-dnssec-zones-20251124.txt|hier}}.
 +
 +
 +==== Achtergrond ====
 +[[https://www.sidn.nl/en/modern-internet-standards/dnssec|DNSSEC]] is een
 +techniek om een digitale handtekening aan DNS data toe te voegen
 +zodat de gebruiker de authenticiteit ervan vast kan stellen.
 +Dit zorgt ervoor dat DNS data niet door kwaadwillenden nagemaakt
 +("gespooft") kan worden en is hiermee een nuttige toevoeging op een andere
 +veelgebruikte internet internet techniek zoals
 +[[https://en.wikipedia.org/wiki/Transport_Layer_Security|TLS]].
 +Vrijwel alle domeinen die NPO Hosting&Streaming beheerd hebben DNSSEC
 +enabled en zijn daarmee dus beveiligd tegen namaakpogingen.
 +
 +NPO H&S beheert ruim 1500 domeinnamen. Deze zijn verdeeld over 2
 +omgevingen, één op basis van software genaamd
 +[[https://www.powerdns.com/powerdns-community|PowerDNS]] (+/- 500
 +domeinen, cloud) en een andere op basis van software genaamd
 +[[https://www.isc.org/bind/|BIND]] (+/- 1000 domeinen, on-prem)
 +Deze aankondiging betreft enkel de BIND omgeving. 
 +
 +DNSSEC werkt op basis van
 +[[https://en.wikipedia.org/wiki/Public-key_cryptography|public key
 +cryptografie]], waarbij de betrokken domeinen getekend zijn met een
 +(geheime) sleutel. De bijbehorende publieke sleutel wordt in het domein
 +zelf gepubliceerd. In combinatie met een
 +[[https://en.wikipedia.org/wiki/Chain_of_trust|chain of trust]] zorgt
 +dat ervoor dat de inhoud van elk domein geverifieerd kan worden.
 +De sleutels wordt per domein aangemaakt; elk domein heeft dus z'n eigen
 +publieke en geheime sleutel.
 +
 +In de BIND versie die team H&S daar nu nog voor gebruikt (9.18) wordt het
 +ondertekenen geregeld door een configuratieoptie genaamd
 +[[https://bind9.readthedocs.io/en/v9.18.13/reference.html#namedconf-statement-auto-dnssec|auto-dnssec]].
 +Echter, deze optie is deprecated en wordt niet meer ondersteund in de
 +nieuwste BIND LTS versie (9.20). Hiervoor in de plaats is een
 +configuratieoptie genaamd
 +[[https://bind9.readthedocs.io/en/v9.18.13/reference.html#namedconf-statement-dnssec-policy|dnssec-policy]] gekomen.
 +Om ervoor te zorgen dat in de toekomst BIND bij H&S op de nieuwste LTS
 +versie kan draaien is het nodig om de betrokken configuratie aan te
 +passen.
 +
 +Concreet zijn hier de volgende wijzigingen voor nodig:
 +  * Alle reeds bestaande sleutelparen worden uitgebreid met enige
 +  configuratie die nodig is voor de werking van ''dnssec-policy''
 +  * Alle domeinen worden omgezet van ''auto-dnssec'' naar
 +  ''dnssec-policy''.
 +
 +Dit gebeurt volledig transparant voor alle gebruikers. DNS resolving
 +en validatie van sleutels wordt niet onderbroken.
 +
 +M.a.w. deze wijziging is wel nodig om in de toekomst DNSSEC aan te
 +kunnen blijven bieden, maar is niet merkbaar voor de gebruikers.
 +
 +===== Bereikbaarheid =====
 +Team Hosting&Streaming is gedurende al het onderhoud via de normale
 +kanalen bereikbaar. Zie de [[:contact|contact pagina]].
  
  • aankondigingen/2025/c2025d17-afscheid-auto-dnssec-bind.txt
  • Last modified: 2026/02/26 02:25
  • by 127.0.0.1