Differences

This shows you the differences between two versions of the page.

--- aankondigingen:2025:c2025d17-afscheid-auto-dnssec-bind [2025/11/24 12:58] – created - external edit 127.0.0.1
+++ aankondigingen:2025:c2025d17-afscheid-auto-dnssec-bind [2025/11/24 14:52] (current) – external edit 127.0.0.1
@@ Line 23: / Line 23: @@
   - DNSSEC onderhoud on-prem DNS omgeving
-==== DNSSEC onderhoud on-prem DNS omgeving ====
+===== DNSSEC onderhoud on-prem DNS omgeving =====
 Op maandag 1 december, om 11:00 vindt er onderhoud plaats aan
 de on-prem DNS omgeving. Dit onderhoud heeft geen impact op
@@ Line 33: / Line 33: @@
 ==== Lijst van betrokken domeinen ====
-De lijst van betrokken domeinen staat hier.
+De lijst van betrokken domeinen staat
+{{:aankondigingen:2025:bind-dnssec-zones-20251124.txt|hier}}.
 ==== Achtergrond ====
-DNSSEC is een techniek om ...
+[[https://www.sidn.nl/en/modern-internet-standards/dnssec|DNSSEC]] is een
-FIXME
+techniek om een digitale handtekening aan DNS data toe te voegen
+zodat de gebruiker de authenticiteit ervan vast kan stellen.
+Dit zorgt ervoor dat DNS data niet door kwaadwillenden nagemaakt
+("gespooft") kan worden en is hiermee een nuttige toevoeging op een andere
+veelgebruikte internet internet techniek zoals
+[[https://en.wikipedia.org/wiki/Transport_Layer_Security|TLS]].
+Vrijwel alle domeinen die NPO Hosting&Streaming beheerd hebben DNSSEC
+enabled en zijn daarmee dus beveiligd tegen namaakpogingen.
+NPO H&S beheert ruim 1500 domeinnamen. Deze zijn verdeeld over 2
+omgevingen, één op basis van software genaamd
+[[https://www.powerdns.com/powerdns-community|PowerDNS]] (+/- 500
+domeinen, cloud) en een andere op basis van software genaamd
+[[https://www.isc.org/bind/|BIND]] (+/- 1000 domeinen, on-prem)
+Deze aankondiging betreft enkel de BIND omgeving.
+DNSSEC werkt op basis van
+[[https://en.wikipedia.org/wiki/Public-key_cryptography|public key
+cryptografie]], waarbij de betrokken domeinen getekend zijn met een
+(geheime) sleutel. De bijbehorende publieke sleutel wordt in het domein
+zelf gepubliceerd. In combinatie met een
+[[https://en.wikipedia.org/wiki/Chain_of_trust|chain of trust]] zorgt
+dat ervoor dat de inhoud van elk domein geverifieerd kan worden.
+De sleutels wordt per domein aangemaakt; elk domein heeft dus z'n eigen
+publieke en geheime sleutel.
+In de BIND versie die team H&S daar nu nog voor gebruikt (9.18) wordt het
+ondertekenen geregeld door een configuratieoptie genaamd
+[[https://bind9.readthedocs.io/en/v9.18.13/reference.html#namedconf-statement-auto-dnssec|auto-dnssec]].
+Echter, deze optie is deprecated en wordt niet meer ondersteund in de
+nieuwste BIND LTS versie (9.20). Hiervoor in de plaats is een
+configuratieoptie genaamd
+[[https://bind9.readthedocs.io/en/v9.18.13/reference.html#namedconf-statement-dnssec-policy|dnssec-policy]] gekomen.
+Om ervoor te zorgen dat in de toekomst BIND bij H&S op de nieuwste LTS
+versie kan draaien is het nodig om de betrokken configuratie aan te
+passen.
+Concreet zijn hier de volgende wijzigingen voor nodig:
+  * Alle reeds bestaande sleutelparen worden uitgebreid met enige
+  configuratie die nodig is voor de werking van ''dnssec-policy''
+  * Alle domeinen worden omgezet van ''auto-dnssec'' naar
+  ''dnssec-policy''.
+Dit gebeurt volledig transparant voor alle gebruikers. DNS resolving
+en validatie van sleutels wordt niet onderbroken.
+M.a.w. deze wijziging is wel nodig om in de toekomst DNSSEC aan te
+kunnen blijven bieden, maar is niet merkbaar voor de gebruikers.
+===== Bereikbaarheid =====
+Team Hosting&Streaming is gedurende al het onderhoud via de normale
+kanalen bereikbaar. Zie de [[:contact|contact pagina]].