Gratis DNSSEC-controleprogramma

Controleer direct of DNSSEC voor elk domein correct is geconfigureerd. Onze gratis DNSSEC-validator controleert de DS-records bij uw registrar, de DNSKEY-records op uw gezaghebbende naamserver, de geldigheid van de RRSIG-handtekening en de volledige vertrouwensketen van uw domein tot aan de DNS-root.

Voer een geldige domeinnaam in, zonder http:// prefix

0+

Organisaties wereldwijd

0+

Fortune 100-bedrijven en overheden

0+

landen waar wij actief zijn

Wat controleert deze DNSSEC-checker?

Onze DNSSEC-checker voert zes essentiële validatiecontroles uit op uw domein:

1

DS-registratie bij de griffie

Bevestigt dat het record van de delegatieondertekenaar in uw bovenliggende zone (bij uw registrar) bestaat. Dit is de cruciale schakel die uw ondertekende zone verbindt met de wereldwijde vertrouwensketen.

2

DNSKEY-record in de zone

Controleert of het record van de openbare sleutel is gepubliceerd op uw gezaghebbende naamserver. Een zone heeft doorgaans twee sleutels: een Zone Signing Key (ZSK) voor dagelijks gebruik en een Key Signing Key (KSK) voor het ondertekenen van de ZSK.

3

Geldigheid van de RRSIG-handtekening

Controleert of er cryptografische handtekeningen op uw DNS-records staan en of deze nog geldig zijn. Verlopen RRSIG’s zorgen ervoor dat de DNSSEC-validatie onmiddellijk mislukt.

4

DS-DNSKEY-overeenkomst

Controleert of het DS-record bij uw registrar correct verwijst naar de DNSKEY in uw zone. Een afwijking (vaak als gevolg van een onvolledige sleutelvernieuwing) zorgt ervoor dat de validatie mislukt.

5

Beveiliging van algoritmen

Detecteert verouderde of zwakke ondertekeningsalgoritmen. Zwakke algoritmen kunnen de beveiligingsvoordelen van DNSSEC in gevaar brengen.

6

Integriteit van de vertrouwensketen

Controleert of de volledige keten, van de DNS-root via het TLD tot aan uw domein, intact is. Als er ergens in deze keten een onderbreking zit, mislukt de volledige validatie.

De checker geeft een van de vier statussen weer:

Ingeschakeld

Alle controles op uw gegevens zijn succesvol doorlopen.

Gedeeltelijk

DNSKEY is aanwezig, maar het DS-record ontbreekt bij uw domeinregistrar.

Verkeerd geconfigureerd

Er is een DS-record aanwezig, maar de bijbehorende DNSKEY ontbreekt.

Niet ingeschakeld

Er konden noch DS- noch DNSKEY-records worden gevonden.

Wat is DNSSEC?

DNSSEC (Domain Name System Security Extensions) is een reeks cryptografische uitbreidingen op het DNS waarmee resolvers kunnen controleren of DNS-antwoorden authentiek zijn en tijdens de overdracht niet zijn gemanipuleerd. DNSSEC voegt digitale handtekeningen toe aan DNS-records en creëert een vertrouwensketen vanaf de DNS-rootzone tot aan individuele domeinen. Dit biedt bescherming tegen DNS-cachepoisoning en DNS-spoofing-aanvallen, waardoor gebruikers naar kwaadaardige servers zouden kunnen worden omgeleid.

DNSSEC versleutelt geen DNS-verzoeken. Dat gebeurt via DNS-over-HTTPS of DNS-over-TLS. Het beschermt ook geen e-mailinhoud en vervangt DMARC/DKIM/SPF niet. Het beveiligt juist het DNS-resolutieproces waarop die e-mailverificatiestandaarden zijn gebaseerd.

Voor meer informatie over de werking van DNSSEC kun je onze:

Inzicht in de vertrouwensketen

DNSSEC-validatie verloopt van boven naar beneden via een hiërarchische vertrouwensketen:

DNS-root
TLD (.com, .org, enz.)
Uw domein

Elk niveau wordt door het bovenliggende niveau ondertekend en geauthenticeerd via een DS-record. Als deze keten op welk niveau dan ook wordt onderbroken, mislukt de validatie, zelfs als je zone perfect is geconfigureerd.

De meest voorkomende fout: het DS-record is niet ingediend bij je registrar. Je zone is ondertekend (DNSKEY is aanwezig), maar is niet gekoppeld aan de bovenliggende zone. De checker geeft de status ‘Gedeeltelijk’ weer.

Oplossing: Dien je DS-record (van je DNS-host) in bij je registrar. Beide onderdelen moeten aanwezig zijn om de keten te laten werken.

Uitleg over DNSSEC-recordtypen

DNSSEC maakt gebruik van vier primaire soorten DNS-records, die allemaal door onze tool worden gecontroleerd.

DNSKEY-record

Slaat de openbare sleutel op die wordt gebruikt om DNSSEC-handtekeningen te verifiëren. Bevat de ZSK (ondertekent records) en de KSK (ondertekent de ZSK).

1
DS-record (ondertekenaar namens de delegatie)

Bevat een hash van de DNSKEY in de bovenliggende zone, waardoor uw domein wordt gekoppeld aan de DNSSEC-vertrouwensketen.

2
RRSIG (Resource Record Signature)

Cryptografische handtekening voor elke set DNS-records. Moet vóór het verstrijken van de geldigheidsduur worden vernieuwd om de DNSSEC-validatie te behouden.

3
NSEC / NSEC3-record

Bewijst dat DNS-records niet bestaan (geauthenticeerde ontkenning van het bestaan). NSEC3 is de variant die de privacy waarborgt. Deze voorkomt dat aanvallers alle namen in uw zone kunnen inventariseren.

4

Hoe u DNSSEC voor uw domein inschakelt

Het inschakelen van DNSSEC verloopt in twee stappen. Beide stappen moeten worden doorlopen om volledige validatie te verkrijgen:

Stap 1

Schakel DNSSEC-ondertekening in bij uw DNS-hostingprovider

Log in bij je DNS-provider, schakel DNSSEC-ondertekening voor je domein in en kopieer het gegenereerde DS-record. Hierdoor worden je DNSKEY-records aangemaakt en wordt je DNS-zone automatisch ondertekend.

Stap 2

Dien het DS-record in bij uw registrar

Log in bij uw domeinregistrar, open de DNSSEC-instellingen en voeg het DS-record toe dat in stap 1 is gegenereerd. Sla de wijzigingen op om de DNSSEC-vertrouwensketen te voltooien.

Tijdsduur: De DNS-verspreiding duurt 24 tot 48 uur.

Veelvoorkomende valkuil: Veel gebruikers schakelen DNSSEC-ondertekening in, maar vergeten het DS-record te publiceren, waardoor de vertrouwensketen onvolledig blijft.

Veelvoorkomende DNSSEC-fouten en hoe je ze kunt oplossen

Dit zijn de vijf meest voorkomende fouten bij de configuratie van DNSSEC en hoe je deze kunt oplossen:

Status: Gedeeltelijk of verkeerd geconfigureerd

DS-record ontbreekt of is verkeerd geconfigureerd

Oorzaak: De DNSKEY is aanwezig in uw zone (uw zone is dus ondertekend), maar het DS-record is niet bij uw registrar ingediend of is onjuist. De vertrouwensketen is op het niveau van de registrar onderbroken.

Aanbevolen oplossingen:

  • Log in bij je domeinregistrar (GoDaddy, Namecheap, enz.)
  • Ga naar de DNS-instellingen van je domein
  • Zoek het gedeelte over DNSSEC- of DS-records
  • Haal het DS-record op via het configuratiescherm van je DNS-hostingprovider
  • Plak de waarde van het DS-record in het veld ‘DS-record’ van je domeinregistrar
  • Sla de wijzigingen op en wacht 24–48 uur totdat de DNS-wijzigingen zijn doorgevoerd
  • Voer de checker opnieuw uit om te controleren of de status ‘Ingeschakeld’ is
Status: Niet ingeschakeld

DNSSEC is niet ingeschakeld bij de registrar of de naamserver

Oorzaak: DNSSEC-ondertekening is nergens ingeschakeld. Er zijn geen DNSKEY- noch DS-records aanwezig.

Aanbevolen oplossingen:

  • Log in op het configuratiescherm van je DNS-hosting (Cloudflare, Route 53, enz.)
  • Zoek het gedeelte over DNSSEC of DNS-beveiliging
  • Schakel DNSSEC-ondertekening in voor uw domein
  • Kopieer het verstrekte DS-record of de DNSKEY-gegevens
  • Log in bij uw domeinregistrar en voeg het DS-record toe (zie bovenstaande stappen)
  • Wacht 24-48 uur en voer de controle opnieuw uit
Status: Verkeerd geconfigureerd

Verlopen RRSIG-handtekening

Oorzaak: De handtekeningen op uw DNS-records zijn verlopen. Dit wordt meestal veroorzaakt door een mislukte automatische sleutelvernieuwing of een storing bij uw DNS-hostingprovider.

Aanbevolen oplossingen:

  • Log in op het configuratiescherm van uw DNS-hosting
  • Zoek het gedeelte over DNSSEC en voer de actie „zone opnieuw ondertekenen“ of „handtekeningen vernieuwen“ uit
  • Als deze optie niet beschikbaar is, schakel dan DNSSEC-ondertekening uit en schakel deze vervolgens weer in
  • Wacht een paar minuten totdat de handtekeningen opnieuw zijn gegenereerd
  • Voer de controle opnieuw uit
Status: Verkeerd geconfigureerd

DS-DNSKEY-conflict

Oorzaak: Het DS-record bij uw registrar komt niet meer overeen met de DNSKEY in uw zone. Dit gebeurt meestal na een sleutelvernieuwing, wanneer het DS-record niet is bijgewerkt.

Aanbevolen oplossingen:

  • Log in op het configuratiescherm van uw DNS-hosting en noteer het huidige DS-record (dit kan tijdens de overgang zijn gewijzigd)
  • Log in bij je domeinregistrar
  • Werk het DS-record bij met de nieuwe waarde van je DNS-provider
  • Wacht 24–48 uur en voer de controle opnieuw uit
Status: Gedeeltelijk

DNSSEC is ingeschakeld op de naamserver, maar niet bij de registrar

Oorzaak: Uw zone is ondertekend (er zijn DNSKEY-records aanwezig), maar het DS-record is niet bij uw registrar aanwezig. Dit is veruit de meest voorkomende fout bij de configuratie van DNSSEC.

Aanbevolen oplossingen:

  • Log in bij je domeinregistrar (GoDaddy, Namecheap, enz.)
  • Ga naar de DNS-instellingen van je domein
  • Zoek het gedeelte over DNSSEC- of DS-records
  • Haal het DS-record op via het configuratiescherm van je DNS-hostingprovider
  • Dien het in bij je onderwijsadministratie

DNSSEC en e-mailbeveiliging

DNSSEC en de standaarden voor e-mailverificatie (DMARC, DKIM, SPF) vormen complementaire maar afzonderlijke beveiligingslagen.

Hoe ze met elkaar in verbinding staan

DNSSEC beveiligt DNS-opzoekingen, terwijl SPF, DKIM en DMARC e-mail beveiligen. Het zorgt ervoor dat de DNS-records die voor e-mailverificatie worden gebruikt, authentiek zijn en niet zijn gemanipuleerd.

Waarom DNSSEC belangrijk is

Zonder DNSSEC kunnen aanvallers DNS-antwoorden vervalsen en uw DKIM-sleutel vervangen door een valse. DNSSEC voorkomt dit door ervoor te zorgen dat e-mailservers de authentieke DKIM-sleutel uit uw DNS ophalen.

Wat DNSSEC niet doet

DNSSEC is geen vervanging voor DMARC, DKIM of SPF. Deze drie zijn nog steeds nodig voor e-mailverificatie. DNSSEC zorgt er alleen voor dat de DNS-infrastructuur waarop ze steunen, beter beveiligd is.

Controleer of e-mailverificatie is ingeschakeld voor uw domein

Heb je je DMARC-record gecontroleerd?

Controleer direct of uw DMARC-record actief, geldig en vrij van syntaxfouten is met behulp van onze gratis opzoektool.

DMARC-checker

Bij p=none? Ga dan over tot handhaving.

De gehoste DMARC-oplossing van PowerDMARC begeleidt u veilig van monitoring tot volledige handhaving van de `p=reject`-instelling, met realtime inzicht.

Hosted DMARC

Wilt u doorlopende monitoring?

PowerDMARC analyseert automatisch geaggregeerde rapporten en waarschuwt u wanneer er nieuwe afzenders opduiken of er authenticatieproblemen optreden.

Gratis beginnen

Wat onze klanten en partners over ons zeggen

Steve Smith
Steve Smith

Regiomanager Auckland, Advantage

“Onze bedrijfsvoering is gebaseerd op vertrouwen, niet alleen tussen ons en onze klanten, maar ook met onze partners. Dankzij de uitstekende samenwerking met PowerDMARC kunnen we onze klanten uitzonderlijke diensten bieden.”

Veelgestelde Vragen

Wat is DNSSEC en hoe werkt het?
DNSSEC voegt cryptografische handtekeningen toe aan DNS-records en zorgt voor een vertrouwensketen van de DNS-root naar individuele domeinen. Wanneer een resolver een verzoek indient bij een met DNSSEC ondertekend domein, controleert deze de handtekeningen op elk niveau van de hiërarchie om te bevestigen dat het antwoord authentiek en ongewijzigd is. Raadpleeg onze volledige DNSSEC-gids voor gedetailleerde informatie over de werking ervan.
Hoe kan ik controleren of DNSSEC werkt?
Voer je domein in de bovenstaande checker in en klik op ‘Check’. De tool controleert de DS-records bij de registrar, de DNSKEY-records op je naamserver en de volledige vertrouwensketen, en geeft vervolgens de status ‘Ingeschakeld’, ‘Gedeeltelijk’, ‘Verkeerd geconfigureerd’ of ‘Niet ingeschakeld’ weer. Je kunt ook dig DS yourdomain.com @8.8.8.8 vanaf de opdrachtregel om handmatig het DS-record op te vragen.
Is DNSSEC nog steeds relevant?
Ja. DNS-cachevergiftiging blijft een actieve aanvalsvector, en DNSSEC is de enige verdedigingsmaatregel op protocolniveau hiertegen. Het is tevens een voorwaarde voor DANE (DNS-based Authentication of Named Entities), dat certificaatverificatie biedt die onafhankelijk is van certificeringsinstanties. Veel overheden, toezichthouders en nalevingskaders schrijven DNSSEC inmiddels verplicht voor voor kritieke domeinen.
Wat wordt met DNSSEC gevalideerd?
DNSSEC controleert de authenticiteit en integriteit van DNS-antwoorden en garandeert daarmee dat de IP-adressen, MX-records en andere DNS-gegevens die voor een domein worden teruggestuurd, afkomstig zijn van een gezaghebbende server en tijdens de overdracht niet zijn gewijzigd. Het controleert echter niet de inhoud van websites of e-mailberichten, en het versleutelt geen DNS-verzoeken.

Ben je klaar om merkmisbruik en oplichting te voorkomen en volledig inzicht te krijgen in je e-mailkanalen?