WinkelwagenControlepaneel
Hulpartikel overzicht

Hulpartikel

Een DS-record instellen

DomeinGeavanceerdDNSDomeinregistratie

In dit artikel leggen we uit wat een DS-record is en hoe je deze instelt binnen de DNS instellingen van je domeinnaam.

Een DS-record, ook wel "Delegation Signer" genoemd, is het record waarmee de DNSSEC signing key van een gedelegeerde zone (de zone van een subdomein op een andere nameserver) wordt geïdentificeerd. Dit record staat dan in de zone van je domeinnaam en verwijst naar de DNSSEC-gegevens van je subdomein zodat de correcte DNSSEC-gegevens van je subdomein hiermee te identificeren zijn.

De browser van een bezoeker kan via het DS-record dat bij het domein staat controleren dat de DNSSEC-gegevens van het subdomein kloppen en te vertrouwen zijn. Verder kan de browser controleren dat de DNSSEC-gegevens van het domein zelf te vertrouwen zijn door te kijken naar het DS-record voor de domeinnaam zelf (welke automatisch bij het register aangemaakt is als het domein bij TransIP staat en je onze nameservers gebruikt). 

Door telkens een stapje hoger te controleren kan zo worden nagegaan dat elk onderdeel netjes met DNSSEC beveiligd is en daarom te vertrouwen is. Dit principe wordt de 'Chain of trust' genoemd en is de basis van DNSSEC-beveiliging. Zie voor meer informatie over DNSSEC ook: 'Wat is DNSSEC?

Wanneer voer je zelf een DS-record in?

Wanneer je domeinnaam bij TransIP geregistreerd staat en je gebruikmaakt van onze nameservers, hoef je in de meeste gevallen niet zelf een DS-record in te stellen voor je domeinnaam. Dit wordt achter de schermen allemaal automatisch geregeld zodat het domein via DNSSEC beveiligd is. Je hebt hier dan zelf geen omkijken naar. 
 

De enige uitzondering hierop is als je voor één of meerdere subdomeinen NS-records hebt aangemaakt in de DNS-instellingen om voor die subdomein(en) externe nameservers te gebruiken. Als je voor een subdomein externe nameservers gebruikt, dan moet je voor dat subdomein wel DS-records bij je domeinnaam instellen om ervoor te zorgen dat de DNSSEC-gegevens van je subdomein netjes geïdentificeerd en vertrouwd worden. Dit is essentieel om ervoor te zorgen dat het subdomein ook via DNSSEC beveiligd is.
 

De gegevens die je nodig hebt voor het instellen van een DS-record krijg je van de software waarmee je het subdomein op de externe nameservers met DNSSEC gesigned hebt. De betreffende software genereert naast het signen van je subdomein ook het noodzakelijke DS-record met de gegevens die je bij je domeinnaam kan invoeren.

Belangrijk:

  • Zelf een DS-record instellen is alléén nodig als je bij een subdomein NS-records ingesteld hebt en dus andere nameservers gebruikt voor dit specifieke subdomein. In alle andere gevallen is het zelf instellen van DS-records niet van toepassing.
  • Wanneer je externe nameservers gebruikt voor je subdomein dan moet je ervoor zorgen dat het subdomein via DNSSEC gesigned wordt op die externe nameserver(s). Dit kan dan niet via TransIP geregeld worden.
    Hoe je op je externe nameservers het subdomein met DNSSEC signed hangt af van de configuratie van de externe nameserver(s). Hiervoor kan je het beste de beheerder van de externe nameserver(s) contacteren of als je dit zelf bent de handleiding van je nameserver-software raadplegen.
  • Als je de TransIP nameservers gebruikt voor je domeinnaam en geen NS-record(s) hebt voor eventuele subdomeinen dan hoef je géén DS-record(s) in te stellen.
  • Als je je eigen nameservers bij een domeinnaam ingesteld hebt, dan zullen de DNS-instellingen niet via TransIP lopen maar via je eigen nameservers. Je kunt in dit geval dan ook géén DS-record(s) bij ons instellen. Wel zal je je eigen DNSSEC-instellingen moeten invoeren in je controlepaneel als je wilt dat je domeinnaam via DNSSEC beveiligd is.

    Waar voeg ik een DS-record toe?

    DNS-records voeg je eenvoudig en kosteloos toe via je controlepaneel. Ga hier naar het tabblad 'Domein & Hosting' en klik in de linkerkolom op het domein waar je het DS-record voor wilt instellen (niet aanvinken).

    Scrol nu naar 'Geavanceerd Domeinbeheer', gevolgd door 'DNS'. Zie je dit nog niet terug, zet dan eerst de schakelaar achter 'TransIP instellingen' om zodat deze op 'Uit' staat.
     

    geavanceerd domeinbeheer header
    Je ziet daarna een overzicht terug van jouw DNS-records, die je vervolgens naar wens kan aanpassen. Zorg dat je de 'TransIP instellingen' daarna wel uit laat staan, anders overschrijven deze je eigen wijzigingen.
     

    geavanceerd domeinbeheer dns

    Hoe stel ik een DS-record in?

    De gegevens die je nodig hebt voor het instellen van een DS-record staan niet in je controlepaneel. Wij hebben geen inzage in deze gegevens, daarom kan je de benodigde gegevens voor het DS-record ook niet bij ons opvragen.
     

    De noodzakelijke gegevens krijg je van de software waarmee je het subdomein op de externe nameservers met DNSSEC gesigned hebt. De betreffende software moet naast het signen van je subdomein ook het noodzakelijke DS-record kunnen genereren met de gegevens die je in het 'Waarde'-veld bij je domeinnaam kan invoeren.

    In het onderstaande voorbeeld zie je een DS-record en drie NS-records terug voor het subdomein subdomein.transiptutorials.nl.

    Voorbeeld van een DS-record en NS-records

    Deze instellingen lichten we verder toe:

    • De NS-records hebben als naam subdomein en geven aan welke nameservers er gebruikt worden voor dit subdomein. Dat betekent dat de verdere DNS-records voor dit subdomein op de externe nameservers ingesteld moet worden en niet meer bij TransIP. In dit voorbeeld betekent dit dat de DNS via de volgende nameservers verloopt:
      ns0.voorbeeld.net
      ns1.voorbeeld.nl
      ns2.voorbeeld.eu
    • Het DS-record heeft als naam subdomein en zorgt ervoor dat bij het bezoeken van de website subdomein.transiptutorials.nl het voor de tussenliggende resolvers duidelijk is dat de zone van subdomein.transiptutorials.nl op de externe nameservers gebruikmaakt van DNSSEC en hoe de DNSSEC-beveiling van de DNS-zone op de externe nameservers geverifieerd kan worden. Uiteraard is het hierbij van belang dat het subdomein ook daadwerkelijk via DNSSEC gesigned is op de externe nameserver(s).


    Bovengenoemde instellingen zorgen ervoor dat resolvers de DNSSEC-beveiliging van het subdomein kunnen controleren wanneer het subdomein bezocht wordt. Dit doen ze in het voorbeeld als volgt: de betreffende resolvers zullen ter controle de versleutelde KSK van de zone op de externe nameservers van subdomein.transiptutorials.nl vergelijken met het DS-record dat bij transiptutorials.nl voor het subdomein ingesteld staat. Als dit overeenkomt, dan bewijst het dat de DNS-records correct zijn en de waardes niet tussentijds aangepast zijn. Het subdomein is dan met DNSSEC beveiligd.

    Naam

    Een DS-record stel je in door met de naam te beginnen. Aangezien je een DS-record bij TransIP altijd alleen voor een subdomein zal aanmaken moet je hier niet het root domein invoeren, dus geen @. In plaats daarvan voer je bij 'Naam' het subdomein zelf in, zonder de volledige domeinnaam erachter. Voor het subdomein subdomein.transiptutorials.nl vul je dan als naam 'subdomein' in, zonder de aanhalingstekens.

    TTL

    De 'TTL' van een DNS-record bepaalt hoe lang het record in de cache mag blijven staan. Wij raden aan om de TTL laag te houden, bijvoorbeeld op 1 uur.

    Type

    Omdat je een DS-record wilt instellen, kies je onder 'Type' voor 'DS'.

    Waarde

    Als 'Waarde' vul je een aantal zaken in. Hierbij is het van belang dat je deze in de juiste volgorde in het 'Waarde' veld invult, gescheiden door spaties:

    • De 'key tag' van het betreffende KSK-record waarmee het subdomein op de externe nameserver(s) gesigned is. Dit is een getal van meestal 5 cijfers maar het kan ook 3 of 4 cijfers zijn.
    • Het 'algoritme' dat gebruikt is voor het genereren van de DNSSEC ondertekening van het subdomein.
    • De zogeheten 'digest type', dit is het algoritme dat gebruikt is voor het genereren van de 'digest'
    • De 'digest' is de DS-key en de daadwerkelijke inhoud van het DS-record. Dit is een cryptografische hash van de DNSSEC-gegevens waarnaar het DS-record verwijst. Het DS-record moet immers verwijzen naar de DNSSEC-gegevens van het subdomein op de nameservers van het subdomein.

    Een voorbeeld van het 'Waarde'-veld van een DS-record:
    voorbeeld waarde DS-record

    N.b. De 'digest' zelf is hierboven slechts gedeeltelijk zichtbaar omdat deze langer is dan het 'Waarde'-veld.

    In het voorbeeld zijn de volgende gegevens gebruikt.

    subdomein.transiptutorials.nl IN DS 15288 5 2 CE0EB9E59EE1DE2C681A330E3A7C08376F28602CDF990EE4EC88D2A8BDB51539

    De belangrijkste onderdelen uit het 'Waarde'-veld van het voorbeeld lichten we hieronder toe:

    • De key tag van het betreffende KSK-record waarmee het subdomein op de externe nameserver(s) gesigned is: 15288
    • Het algoritme, in dit geval: 5
    • De zogeheten digest type, in dit geval: 2
    • De inhoud van het DS-record, ook wel digest genoemd. Dat is in het voorbeeld de volgende waarde: CE0EB9E59EE1DE2C681A330E3A7C08376F28602CDF990EE4EC88D2A8BDB51539

    Belangrijk:

    • Zorg dat je bovenstaande gegevens niet 1-op-1 overneemt maar dat je de gegevens gebruikt die je gekregen hebt van de software waarmee je het subdomein op de externe nameservers met DNSSEC gesigned hebt. De betreffende software moet naast het signen van je subdomein ook het noodzakelijke DS-record kunnen genereren met de gegevens die je in het 'Waarde'-veld bij je domeinnaam kan invoeren.
    • Hou er rekening mee dat het tot maximaal 24 uur kan duren voordat wijzigingen van DNS records wereldwijd zijn doorgevoerd. Dit is in verband met de wijze waarop externe systemen dit verwerken. Hierop hebben wij helaas geen invloed. Overigens zie je de wijzigingen vaak al ruim binnen 24 uur.

     

    In dit artikel hebben we uitgelegd wat een DS-record is en hoe je deze in je controlepaneel instelt. Voor een algemene uitleg over DNS-records en het invoeren hiervan check je het artikel 'Wat zijn DNS en nameservers?'. Voor meer informatie over DNSSEC check je het artikel 'Wat is DNSSEC?'

    Mocht je na het lezen van dit artikel nog vragen hebben, neem dan contact op met onze supportafdeling. Je bereikt hen via de knop 'Neem contact op' aan de onderzijde van deze pagina.

    Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.

    Heb je ook een goed idee?

    Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

    Stuur jouw idee in

    Heeft dit artikel je geholpen?

    Maak een account aan of log in om een beoordeling achter te laten.

    Deel dit artikel

    Reacties

    Maak een account aan of log in om een reactie te plaatsen.

    0
    provoost 21 augustus 2023 (#10231)

    Bij gebruik van digest type 2 (sha256), moet je de laatste spatie weglaten. Als ik 4863 13 2 7D1B6C4A4D035835F6A396F103AAEA4C71D1976CF1FC0E846B7368C2 61E01913 probeer in te voeren krijg ik de foutmelding dat het een ongeldig DS record is. Zonder de laatste spatie werkt het wel.

    bind9 zet die spatie standaard in /var/lib/bind/dsset-… en dig -t DS zet 'm ook terug. Dus het zou beter zijn als de admin panel er tegen kan.

    0
    Bas van Ooijen Admin 26 november 2021 (#6919)

    @cijfferr

    Goed punt, dankjewel voor het doorgeven. We hebben dit gelijk aangepast.

    0
    cijfferr 24 november 2021 (#6886)

    Kleine correctie: een key tag is idd vaak vijf cijfers lang, maar kan ook vier of zelfs drie cijfers zijn. Zie https://datatracker.ietf.org/doc/html/rfc4034#appendix-B

    Kom je er niet uit?

    Ontvang persoonlijke hulp van onze supporters

    Neem contact op

    VPS

    Tools

    Hulp nodig?

    Over TransIP