C2025D17: DNSSEC onderhoud on-prem DNS omgeving

Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

Wij vragen aandacht voor het volgende:

1. DNSSEC onderhoud on-prem DNS omgeving

Op maandag 1 december, om 11:00 vindt er onderhoud plaats aan de on-prem DNS omgeving. Dit onderhoud heeft geen impact op de beschikbaarhed van de omgeving of de domeinen die in deze omgeving draaien. Er worden een aantal voorbereidingen getroffen om de gebruikte software in een later stadium naar een nieuwe Long Term Support (LTS) versie te kunnen upgraden.

De lijst van betrokken domeinen staat hier.

DNSSEC is een techniek om een digitale handtekening aan DNS data toe te voegen zodat de gebruiker de authenticiteit ervan vast kan stellen. Dit zorgt ervoor dat DNS data niet door kwaadwillenden nagemaakt (“gespooft”) kan worden en is hiermee een nuttige toevoeging op een andere veelgebruikte internet internet techniek zoals TLS. Vrijwel alle domeinen die NPO Hosting&Streaming beheerd hebben DNSSEC enabled en zijn daarmee dus beveiligd tegen namaakpogingen.

NPO H&S beheert ruim 1500 domeinnamen. Deze zijn verdeeld over 2 omgevingen, één op basis van software genaamd PowerDNS (+/- 500 domeinen, cloud) en een andere op basis van software genaamd BIND (+/- 1000 domeinen, on-prem) Deze aankondiging betreft enkel de BIND omgeving.

DNSSEC werkt op basis van public key cryptografie, waarbij de betrokken domeinen getekend zijn met een (geheime) sleutel. De bijbehorende publieke sleutel wordt in het domein zelf gepubliceerd. In combinatie met een chain of trust zorgt dat ervoor dat de inhoud van elk domein geverifieerd kan worden. De sleutels wordt per domein aangemaakt; elk domein heeft dus z'n eigen publieke en geheime sleutel.

In de BIND versie die team H&S daar nu nog voor gebruikt (9.18) wordt het ondertekenen geregeld door een configuratieoptie genaamd auto-dnssec. Echter, deze optie is deprecated en wordt niet meer ondersteund in de nieuwste BIND LTS versie (9.20). Hiervoor in de plaats is een configuratieoptie genaamd dnssec-policy gekomen. Om ervoor te zorgen dat in de toekomst BIND bij H&S op de nieuwste LTS versie kan draaien is het nodig om de betrokken configuratie aan te passen.

Concreet zijn hier de volgende wijzigingen voor nodig:

• Alle reeds bestaande sleutelparen worden uitgebreid met enige configuratie die nodig is voor de werking van dnssec-policy
• Alle domeinen worden omgezet van auto-dnssec naar dnssec-policy.

Dit gebeurt volledig transparant voor alle gebruikers. DNS resolving en validatie van sleutels wordt niet onderbroken.

M.a.w. deze wijziging is wel nodig om in de toekomst DNSSEC aan te kunnen blijven bieden, maar is niet merkbaar voor de gebruikers.

Team Hosting&Streaming is gedurende al het onderhoud via de normale kanalen bereikbaar. Zie de contact pagina.