NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2025D17: DNSSEC onderhoud on-prem DNS omgeving
~~
{{htmlmetatags>
metatag-keywords=(DNS DNSSEC BIND auto-dnssec dnssec-policy)
metatag-og:title=(C2025D17: DNSSEC onderhoud on-prem DNS omgeving)
metatag-og:description=(
	Op maandag 1 december, om 11:00 vindt er onderhoud plaats aan
	de on-prem DNS omgeving. Dit onderhoud heeft geen impact op
	de beschikbaarhed van de omgeving of de domeinen die in deze omgeving
	draaien.
	Er worden een aantal voorbereidingen getroffen
	om de gebruikte software in een later stadium naar een nieuwe
	Long Term Support (LTS) versie te kunnen upgraden.
)
}}
====== C2025D17: DNSSEC onderhoud on-prem DNS omgeving ======
Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)

Wij vragen aandacht voor het volgende:
  - DNSSEC onderhoud on-prem DNS omgeving

===== DNSSEC onderhoud on-prem DNS omgeving =====
Op maandag 1 december, om 11:00 vindt er onderhoud plaats aan
de on-prem DNS omgeving. Dit onderhoud heeft geen impact op
de beschikbaarhed van de omgeving of de domeinen die in deze omgeving
draaien.
Er worden een aantal voorbereidingen getroffen
om de gebruikte software in een later stadium naar een nieuwe
Long Term Support (LTS) versie te kunnen upgraden.

==== Lijst van betrokken domeinen ====
De lijst van betrokken domeinen staat
{{:aankondigingen:2025:bind-dnssec-zones-20251124.txt|hier}}.


==== Achtergrond ====
[[https://www.sidn.nl/en/modern-internet-standards/dnssec|DNSSEC]] is een
techniek om een digitale handtekening aan DNS data toe te voegen
zodat de gebruiker de authenticiteit ervan vast kan stellen.
Dit zorgt ervoor dat DNS data niet door kwaadwillenden nagemaakt
("gespooft") kan worden en is hiermee een nuttige toevoeging op een andere
veelgebruikte internet internet techniek zoals
[[https://en.wikipedia.org/wiki/Transport_Layer_Security|TLS]].
Vrijwel alle domeinen die NPO Hosting&Streaming beheerd hebben DNSSEC
enabled en zijn daarmee dus beveiligd tegen namaakpogingen.

NPO H&S beheert ruim 1500 domeinnamen. Deze zijn verdeeld over 2
omgevingen, één op basis van software genaamd
[[https://www.powerdns.com/powerdns-community|PowerDNS]] (+/- 500
domeinen, cloud) en een andere op basis van software genaamd
[[https://www.isc.org/bind/|BIND]] (+/- 1000 domeinen, on-prem)
Deze aankondiging betreft enkel de BIND omgeving. 

DNSSEC werkt op basis van
[[https://en.wikipedia.org/wiki/Public-key_cryptography|public key
cryptografie]], waarbij de betrokken domeinen getekend zijn met een
(geheime) sleutel. De bijbehorende publieke sleutel wordt in het domein
zelf gepubliceerd. In combinatie met een
[[https://en.wikipedia.org/wiki/Chain_of_trust|chain of trust]] zorgt
dat ervoor dat de inhoud van elk domein geverifieerd kan worden.
De sleutels wordt per domein aangemaakt; elk domein heeft dus z'n eigen
publieke en geheime sleutel.

In de BIND versie die team H&S daar nu nog voor gebruikt (9.18) wordt het
ondertekenen geregeld door een configuratieoptie genaamd
[[https://bind9.readthedocs.io/en/v9.18.13/reference.html#namedconf-statement-auto-dnssec|auto-dnssec]].
Echter, deze optie is deprecated en wordt niet meer ondersteund in de
nieuwste BIND LTS versie (9.20). Hiervoor in de plaats is een
configuratieoptie genaamd
[[https://bind9.readthedocs.io/en/v9.18.13/reference.html#namedconf-statement-dnssec-policy|dnssec-policy]] gekomen.
Om ervoor te zorgen dat in de toekomst BIND bij H&S op de nieuwste LTS
versie kan draaien is het nodig om de betrokken configuratie aan te
passen.

Concreet zijn hier de volgende wijzigingen voor nodig:
  * Alle reeds bestaande sleutelparen worden uitgebreid met enige
  configuratie die nodig is voor de werking van ''dnssec-policy''
  * Alle domeinen worden omgezet van ''auto-dnssec'' naar
  ''dnssec-policy''.

Dit gebeurt volledig transparant voor alle gebruikers. DNS resolving
en validatie van sleutels wordt niet onderbroken.

M.a.w. deze wijziging is wel nodig om in de toekomst DNSSEC aan te
kunnen blijven bieden, maar is niet merkbaar voor de gebruikers.

===== Bereikbaarheid =====
Team Hosting&Streaming is gedurende al het onderhoud via de normale
kanalen bereikbaar. Zie de [[:contact|contact pagina]].