DNSSEC- en DNS-beveiliging instellen

Domain Name System (DNS) vertaalt door mensen leesbare domeinnamen, zoals google.com, in een door computers leesbaar IP-adres van een websites, zoals 172.217.3.206. Stel DNS Security Extensions (DNSSEC) in om bedreigingen voor je domein te voorkomen, zoals cache poison-aanvallen en DNS-spoofing.

DNSSEC aanzetten voor je domein

Belangrijk:

  • Sommige topleveldomeinen (TLD's) accepteren DNSKEY-records (DNS Public Key) in plaats van DS-records (Delegation Signer).
  • Als je je domeinnaam oorspronkelijk bij Google Domains hebt gekocht, kan DNSSEC al voor je zijn ingesteld.
  • Als je domein een ALIAS-record heeft, kun je DNSSEC niet aanzetten. Meer informatie over ALIAS-records

Als je DNSSEC wilt instellen voor je domein, moet je specifieke resourcerecords toevoegen aan je DNS of ondertekeningszone en deze publiceren voor je domein. Als je de automatische DNSSEC-instelling van Google Domains gebruikt, voeren we beide stappen voor je uit. Het kan 24 uur duren voordat de wijzigingen zijn doorgevoerd op internet en DNSSEC actief is.

  1. Log in bij Google Domains.
  2. Selecteer je domein.
  3. Selecteer linksboven Menu en dan DNS.
  4. Selecteer Standaard naamservers of Aangepaste naamservers.
  5. Scroll naar de kaart of het vak DNSSEC.
    • Voor standaard naamservers: Klik op Aanzetten. Als DNSSEC al aanstaat, zie je de melding DNSSEC staat aan.
    • Voor aangepaste naamservers: Klik op DS-records beheren en vul de gegevens in die je van je DNS-provider hebt gekregen.
      1. Geef de waarden op die je van je externe DNS-provider hebt gekregen voor de DNSSEC of DNSKEY van de aangepaste naamserver.
      2. Als je meerdere records tegelijk wilt toevoegen, klik je op Nieuwe record maken.
      3. Klik op Opslaan.

Tips:

  • Als je niet wilt wachten tot je DNSKEY-records worden gepubliceerd, vouw je onder DNSSEC de kaart DNSSEC uit en klik je op Records nu publiceren.
  • Als je DNSSEC aanzet, ondertekent Google Domains automatisch je DNS-zone en worden je DS-records (Delegation Signer) binnen 2 uur gepubliceerd.
Vereiste waarden voor de DNSSEC van de aangepaste naamserver

Als je aangepaste naamservers gebruikt, moet je samen met je externe DNS-provider de DNS-zone voor je domein ondertekenen. Vraag voor elke DNSKEY deze waarden op bij je DNS-provider:

  • Keytag: Numerieke waarde die naar een bestaande DNSKEY-record verwijst.
  • Algoritme: Versleutelingsalgoritme dat de beveiligingssleutel in de DNSKEY-record maakt. Het wordt meestal gekoppeld aan een hash-functie zoals RSA/SHA1.
  • Digest-type: Algoritme dat wordt gebruikt om de digest van een DNSKEY-record te maken. Het wordt ook digest-algoritme, digest-hash of digest-hashfunctie genoemd.
  • Digest: Hash-waarde van de DNSKEY-record die een unieke ID van de record vormt, zonder de waarde van de sleutel openbaar te maken. Afhankelijk van het type heeft de digest de volgende lengte:
    • SHA1: 40 hexadecimale cijfers
    • SHA256: 64 hexadecimale cijfers
    • SHA384: 96 hexadecimale cijfers
Vereiste waarden voor de DNSKEY's van de aangepaste naamserver

Als je aangepaste naamservers gebruikt, neem je contact op met je externe DNS-provider om in te loggen bij de DNS-zones van je domein. Vraag voor elke DNSKEY deze waarden op bij je DNS-provider:

  • Flags: Informatie die de DNS en resolvers laat weten hoe zij de DNSKEY-record moeten interpreteren. Deze waarde is standaard ingesteld op 256 of 257.
  • Protocol: Geeft de gebruikte DNSSEC-versie aan. Deze waarde is altijd ingesteld op 3.
  • Algoritme: Geeft het type cryptografisch algoritme aan dat wordt gebruikt voor het openbare of privé-sleutelpaar.
  • Openbare sleutel: De sleutel die DNS-resolvers gebruiken om te bevestigen dat er niet is geknoeid met de DNS-records.

DNSSEC deactiveren voor je domein

  1. Log in bij Google Domains.
  2. Selecteer je domein.
  3. Selecteer Menu  en dan DNS.
  4. Scroll naar de kaart of het vak DNSSEC.
    • Voor standaard naamservers: Selecteer Uitzetten.
    • Voor aangepaste naamservers: Klik naast elke record op Verwijderen .
  5. Selecteer Opslaan.

Tips:

  • Als je voor aangepaste naamservers DNSSEC-gerelateerde resourcerecords wilt verwijderen uit je zone, kun je hiervoor samenwerken met je DNS-provider.
  • Als je DNSSEC uitzet, maakt Google Domains onmiddellijk de publicatie van de DS-records van je domein ongedaan. Nadat deze wijziging is doorgevoerd op internet, is je domein niet meer DNSSEC-beveiligd. Dit kan tot 48 uur duren. Google Domains kan de ondertekening van je DNS-zone ongedaan maken om de DNSSEC-deactivering af te ronden.

Dynamische DNS gebruiken

Belangrijk: Dynamische DNS werkt met zowel IPv4- als IPv6-adressen, maar niet tegelijkertijd.

Met dynamische DNS kun je je domein of een subdomein omleiden naar een resource achter een gateway met een dynamisch toegewezen IP-adres. Als je dynamische DNS wilt gebruiken, moet je de standaard naamservers van Google Domains gebruiken.

Als je dynamische DNS instelt met Google Domains, kun je het volgende doen:

  • Een A- of AAAA-record maken voor je domein of subdomein. Deze record geeft aan de naamservers van Google door dat er een dynamisch IP-adres wordt gebruikt.
  • Een gebruikersnaam en wachtwoord genereren waarmee je host of server het nieuwe IP-adres aan de naamservers van Google kan doorgeven.

Nadat je dynamische DNS hebt ingesteld, moet je op je host, server of gateway een clientprogramma instellen dat:

  • wijzigingen in IP-adressen detecteert,
  • de gegenereerde gebruikersnaam en het wachtwoord gebruikt,
  • het nieuwe adres doorgeeft aan de naamservers van Google.

Dynamische DNS instellen

  1. Log op je computer in bij Google Domains.
  2. Selecteer je domein.
  3. Klik op Menu  en dan DNS.
  4. Selecteer Standaard naamservers van Google Domains (actief).
  • Als Aangepaste naamservers (actief) is geselecteerd, heb je al aangepaste naamservers en kun je de dynamische DNS-service van Google Domains niet gebruiken.
  1. Klik op Geavanceerde instellingen weergeven.
  2. Klik op Dynamische DNS beheren en dan Nieuwe record maken.
  3. Voer de naam van het subdomein of rootdomein in om een dynamisch IP-adres toe te wijzen.
  4. Klik op Opslaan.

Hier volgen enkele andere opties om je dynamische DNS te beheren:

  • De recordwaarden bekijken: Klik naast de record op het driehoekje.
  • De gebruikersnaam en het wachtwoord voor een record bekijken: Klik op Inloggegevens bekijken.
  • De gateway of clientsoftware instellen voor contact met de Google-naamservers: Gebruik de gebruikersnaam en het wachtwoord die voor de record zijn gemaakt.
  • Een record verwijderen:
    1. Ga naar Resourcerecords.
    2. Klik op de driehoek naast Dynamische DNS.
    3. Selecteer Verwijderen.

Een clientprogramma instellen op je gateway, host of server

Er zijn verschillende populaire dynamische DNS-clients in gebruik, zoals DDclient en INADYN. De meeste routers kunnen IP-wijzigingen detecteren en communiceren met de naamservers via de ingebouwde software.

Stel het volgend in voor de dynamische DNS-client:

  • Provider, DNS of Service: De naam van je DNS-provider.
  • Gebruikersnaam of inloggegevens: De gegenereerde gebruikersnaam in de dynamische DNS-record.
  • Wachtwoord of inloggegevens: Het gegenereerde wachtwoord in de dynamische DNS-record.

Test de record nadat je deze hebt gemaakt en de clientsoftware hebt ingesteld. Controleer of het subdomein en domein verbinding maken met de juiste resource door ze in te voeren in een browser of geschikte client.

Tip: Google Domains gebruikt het protocol dyndns2.

Voorbeelden

DDclient biedt nu ondersteuning voor Google Domains.

DDclient met ondersteuning voor Google Domains

ddclient.conf-invoer:

ssl=yes

protocol=googledomains

login=generated_username

password=generated_password

your_resource.your_domain.tld

Algemene clientconfiguratievoorbeelden:

DDclient
zonder Google Domains-support
INADYN

Voorbeelden van ddclient.conf-invoer:

protocol=dyndns2

use=web

server=domains.google.com

ssl=yes

login=generated_username

password=generated_password

your_resource.your_domain.tld

Voeg het volgende toe aan je inadyn.conf

system default@domains.google.com

username generated_username

password generated_password

alias sub.domain.tld

Je dynamische DNS-record updaten met de API

Je dynamische DNS-record wordt automatisch geüpdatet door clientsoftware voor dynamische DNS. Met de API kun je handmatige updates uitvoeren door een POST-verzoek of GET naar deze URL te sturen:
domains.google.com/nic/update
De API vereist HTTPS. Hier volgt een voorbeeldverzoek:
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4

Een user-agent instellen

Belangrijk: Je moet ook een user-agent instellen in je verzoek.

Tijdens een test met de URL direct hierboven, domains.google.com/nic/update, voegen webbrowsers over het algemeen een user-agent voor je toe. De uiteindelijke HTTP-query die naar onze servers wordt gestuurd, ziet er ongeveer zo uit:

Voorbeeld van een HTTP-query:

POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com

Parameters van verzoek:

Parameter Vereist of optioneel Beschrijving
username:password Vereist De gegenereerde gebruikersnaam en het wachtwoord voor de host die moet worden geüpdatet.
hostname Vereist De hostnaam die wordt geüpdatet.
myip
  • Optioneel voor IPv4.
  • Vereist als je een IPv6-adres hebt.
Het IP-adres waarop de host is ingesteld. Als je het adres niet opgeeft, gebruiken we het IP-adres van de agent die het verzoek heeft gestuurd.

Belangrijk: Als je agent een IPv6-adres gebruikt, is myip vereist. Je kunt het IP-adres van je agent vinden via https://domains.google.com/checkip.

offline Optioneel Hiermee wordt de huidige host ingesteld op de status offline. Als een updateverzoek wordt uitgevoerd op een offline host, wordt de host uit de status offline gehaald.
De volgende waarden zijn toegestaan:
  • yes
  • no

Nadat het verzoek is verwerkt, krijg je een van de volgende reacties.

Belangrijk: Zorg dat je de reactie goed interpreteert, anders kan je client worden geblokkeerd in ons systeem.

Reactie Status Beschrijving
good {IP-adres van gebruiker} Gelukt De update is geslaagd. Probeer niet opnieuw te updaten voordat je IP-adres is gewijzigd.
nochg {IP-adres van gebruiker} Gelukt Het opgegeven IP-adres is al ingesteld voor deze host. Probeer niet opnieuw te updaten voordat je IP-adres is gewijzigd.
nohost Fout De hostnaam bestaat niet of dynamische DNS is niet aangezet.
badauth Fout De combinatie gebruikersnaam/wachtwoord is niet geldig voor de opgegeven host.
notfqdn Fout De opgegeven hostnaam is geen geldige, volledige domeinnaam.
badagent Fout Je dynamische DNS-client stuurt ongeldige verzoeken. Zorg ervoor dat de user-agent is ingesteld in het verzoek.
abuse Fout Dynamische DNS-toegang voor de hostnaam is geblokkeerd doordat eerdere reacties niet correct zijn geïnterpreteerd.
911 Fout Er is een fout opgetreden bij ons. Wacht 5 minuten en probeer het dan opnieuw.
conflict A
conflict AAAA
Fout Een aangepaste A- of AAAA-resourcerecord conflicteert met de update. Verwijder de aangegeven resourcerecord op de pagina met DNS-instellingen en probeer de update opnieuw uit te voeren.
Google-apps
Hoofdmenu