Domain Name System (DNS) vertaalt door mensen leesbare domeinnamen, zoals google.com, in een door computers leesbaar IP-adres van een websites, zoals 172.217.3.206. Stel DNS Security Extensions (DNSSEC) in om bedreigingen voor je domein te voorkomen, zoals cache poison-aanvallen en DNS-spoofing.
DNSSEC aanzetten voor je domein
Belangrijk:
- Sommige topleveldomeinen (TLD's) accepteren DNSKEY-records (DNS Public Key) in plaats van DS-records (Delegation Signer).
- Als je je domeinnaam oorspronkelijk bij Google Domains hebt gekocht, kan DNSSEC al voor je zijn ingesteld.
- Als je domein een ALIAS-record heeft, kun je DNSSEC niet aanzetten. Meer informatie over ALIAS-records
Als je DNSSEC wilt instellen voor je domein, moet je specifieke resourcerecords toevoegen aan je DNS of ondertekeningszone en deze publiceren voor je domein. Als je de automatische DNSSEC-instelling van Google Domains gebruikt, voeren we beide stappen voor je uit. Het kan 24 uur duren voordat de wijzigingen zijn doorgevoerd op internet en DNSSEC actief is.
- Log in bij Google Domains.
- Selecteer je domein.
- Selecteer linksboven Menu DNS.
- Selecteer Standaard naamservers of Aangepaste naamservers.
- Scroll naar de kaart of het vak DNSSEC.
- Voor standaard naamservers: Klik op Aanzetten. Als DNSSEC al aanstaat, zie je de melding DNSSEC staat aan.
- Voor aangepaste naamservers: Klik op DS-records beheren en vul de gegevens in die je van je DNS-provider hebt gekregen.
- Geef de waarden op die je van je externe DNS-provider hebt gekregen voor de DNSSEC of DNSKEY van de aangepaste naamserver.
- Als je meerdere records tegelijk wilt toevoegen, klik je op Nieuwe record maken.
- Klik op Opslaan.
Tips:
- Als je niet wilt wachten tot je DNSKEY-records worden gepubliceerd, vouw je onder DNSSEC de kaart DNSSEC uit en klik je op Records nu publiceren.
- Als je DNSSEC aanzet, ondertekent Google Domains automatisch je DNS-zone en worden je DS-records (Delegation Signer) binnen 2 uur gepubliceerd.
Als je aangepaste naamservers gebruikt, moet je samen met je externe DNS-provider de DNS-zone voor je domein ondertekenen. Vraag voor elke DNSKEY deze waarden op bij je DNS-provider:
- Keytag: Numerieke waarde die naar een bestaande DNSKEY-record verwijst.
- Algoritme: Versleutelingsalgoritme dat de beveiligingssleutel in de DNSKEY-record maakt. Het wordt meestal gekoppeld aan een hash-functie zoals RSA/SHA1.
- Digest-type: Algoritme dat wordt gebruikt om de digest van een DNSKEY-record te maken. Het wordt ook digest-algoritme, digest-hash of digest-hashfunctie genoemd.
- Digest: Hash-waarde van de DNSKEY-record die een unieke ID van de record vormt, zonder de waarde van de sleutel openbaar te maken. Afhankelijk van het type heeft de digest de volgende lengte:
- SHA1: 40 hexadecimale cijfers
- SHA256: 64 hexadecimale cijfers
- SHA384: 96 hexadecimale cijfers
Als je aangepaste naamservers gebruikt, neem je contact op met je externe DNS-provider om in te loggen bij de DNS-zones van je domein. Vraag voor elke DNSKEY deze waarden op bij je DNS-provider:
- Flags: Informatie die de DNS en resolvers laat weten hoe zij de DNSKEY-record moeten interpreteren. Deze waarde is standaard ingesteld op 256 of 257.
- Protocol: Geeft de gebruikte DNSSEC-versie aan. Deze waarde is altijd ingesteld op 3.
- Algoritme: Geeft het type cryptografisch algoritme aan dat wordt gebruikt voor het openbare of privé-sleutelpaar.
- Openbare sleutel: De sleutel die DNS-resolvers gebruiken om te bevestigen dat er niet is geknoeid met de DNS-records.
DNSSEC deactiveren voor je domein
- Log in bij Google Domains.
- Selecteer je domein.
- Selecteer Menu DNS.
- Scroll naar de kaart of het vak DNSSEC.
- Voor standaard naamservers: Selecteer Uitzetten.
- Voor aangepaste naamservers: Klik naast elke record op Verwijderen .
- Selecteer Opslaan.
Tips:
- Als je voor aangepaste naamservers DNSSEC-gerelateerde resourcerecords wilt verwijderen uit je zone, kun je hiervoor samenwerken met je DNS-provider.
- Als je DNSSEC uitzet, maakt Google Domains onmiddellijk de publicatie van de DS-records van je domein ongedaan. Nadat deze wijziging is doorgevoerd op internet, is je domein niet meer DNSSEC-beveiligd. Dit kan tot 48 uur duren. Google Domains kan de ondertekening van je DNS-zone ongedaan maken om de DNSSEC-deactivering af te ronden.
Dynamische DNS gebruiken
Belangrijk: Dynamische DNS werkt met zowel IPv4- als IPv6-adressen, maar niet tegelijkertijd.
Met dynamische DNS kun je je domein of een subdomein omleiden naar een resource achter een gateway met een dynamisch toegewezen IP-adres. Als je dynamische DNS wilt gebruiken, moet je de standaard naamservers van Google Domains gebruiken.
Als je dynamische DNS instelt met Google Domains, kun je het volgende doen:
- Een A- of AAAA-record maken voor je domein of subdomein. Deze record geeft aan de naamservers van Google door dat er een dynamisch IP-adres wordt gebruikt.
- Een gebruikersnaam en wachtwoord genereren waarmee je host of server het nieuwe IP-adres aan de naamservers van Google kan doorgeven.
Nadat je dynamische DNS hebt ingesteld, moet je op je host, server of gateway een clientprogramma instellen dat:
- wijzigingen in IP-adressen detecteert,
- de gegenereerde gebruikersnaam en het wachtwoord gebruikt,
- het nieuwe adres doorgeeft aan de naamservers van Google.
Dynamische DNS instellen
- Log op je computer in bij Google Domains.
- Selecteer je domein.
- Klik op Menu DNS.
- Selecteer Standaard naamservers van Google Domains (actief).
- Als Aangepaste naamservers (actief) is geselecteerd, heb je al aangepaste naamservers en kun je de dynamische DNS-service van Google Domains niet gebruiken.
- Klik op Geavanceerde instellingen weergeven.
- Klik op Dynamische DNS beheren Nieuwe record maken.
- Voer de naam van het subdomein of rootdomein in om een dynamisch IP-adres toe te wijzen.
- Klik op Opslaan.
Hier volgen enkele andere opties om je dynamische DNS te beheren:
- De recordwaarden bekijken: Klik naast de record op het driehoekje.
- De gebruikersnaam en het wachtwoord voor een record bekijken: Klik op Inloggegevens bekijken.
- De gateway of clientsoftware instellen voor contact met de Google-naamservers: Gebruik de gebruikersnaam en het wachtwoord die voor de record zijn gemaakt.
- Een record verwijderen:
- Ga naar Resourcerecords.
- Klik op de driehoek naast Dynamische DNS.
- Selecteer Verwijderen.
Een clientprogramma instellen op je gateway, host of server
Er zijn verschillende populaire dynamische DNS-clients in gebruik, zoals DDclient en INADYN. De meeste routers kunnen IP-wijzigingen detecteren en communiceren met de naamservers via de ingebouwde software.
Stel het volgend in voor de dynamische DNS-client:
- Provider, DNS of Service: De naam van je DNS-provider.
- Gebruikersnaam of inloggegevens: De gegenereerde gebruikersnaam in de dynamische DNS-record.
- Wachtwoord of inloggegevens: Het gegenereerde wachtwoord in de dynamische DNS-record.
Test de record nadat je deze hebt gemaakt en de clientsoftware hebt ingesteld. Controleer of het subdomein en domein verbinding maken met de juiste resource door ze in te voeren in een browser of geschikte client.
Tip: Google Domains gebruikt het protocol dyndns2.
Voorbeelden
DDclient biedt nu ondersteuning voor Google Domains.
DDclient met ondersteuning voor Google Domains |
ddclient.conf-invoer:
|
Algemene clientconfiguratievoorbeelden:
DDclient zonder Google Domains-support |
INADYN |
Voorbeelden van ddclient.conf-invoer:
|
Voeg het volgende toe aan je inadyn.conf
|
Je dynamische DNS-record updaten met de API
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
Een user-agent instellen
Belangrijk: Je moet ook een user-agent instellen in je verzoek.
Tijdens een test met de URL direct hierboven, domains.google.com/nic/update
, voegen webbrowsers over het algemeen een user-agent voor je toe. De uiteindelijke HTTP-query die naar onze servers wordt gestuurd, ziet er ongeveer zo uit:
Voorbeeld van een HTTP-query:
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
Parameters van verzoek:
Parameter | Vereist of optioneel | Beschrijving |
username:password |
Vereist | De gegenereerde gebruikersnaam en het wachtwoord voor de host die moet worden geüpdatet. |
hostname |
Vereist | De hostnaam die wordt geüpdatet. |
myip |
|
Het IP-adres waarop de host is ingesteld. Als je het adres niet opgeeft, gebruiken we het IP-adres van de agent die het verzoek heeft gestuurd.
Belangrijk: Als je agent een IPv6-adres gebruikt, is |
offline |
Optioneel | Hiermee wordt de huidige host ingesteld op de status offline. Als een updateverzoek wordt uitgevoerd op een offline host, wordt de host uit de status offline gehaald. De volgende waarden zijn toegestaan:
|
Nadat het verzoek is verwerkt, krijg je een van de volgende reacties.
Belangrijk: Zorg dat je de reactie goed interpreteert, anders kan je client worden geblokkeerd in ons systeem.
Reactie | Status | Beschrijving |
good {IP-adres van gebruiker} |
Gelukt | De update is geslaagd. Probeer niet opnieuw te updaten voordat je IP-adres is gewijzigd. |
nochg {IP-adres van gebruiker} |
Gelukt | Het opgegeven IP-adres is al ingesteld voor deze host. Probeer niet opnieuw te updaten voordat je IP-adres is gewijzigd. |
nohost |
Fout | De hostnaam bestaat niet of dynamische DNS is niet aangezet. |
badauth |
Fout | De combinatie gebruikersnaam/wachtwoord is niet geldig voor de opgegeven host. |
notfqdn |
Fout | De opgegeven hostnaam is geen geldige, volledige domeinnaam. |
badagent |
Fout | Je dynamische DNS-client stuurt ongeldige verzoeken. Zorg ervoor dat de user-agent is ingesteld in het verzoek. |
abuse |
Fout | Dynamische DNS-toegang voor de hostnaam is geblokkeerd doordat eerdere reacties niet correct zijn geïnterpreteerd. |
911 |
Fout | Er is een fout opgetreden bij ons. Wacht 5 minuten en probeer het dan opnieuw. |
conflict A |
Fout | Een aangepaste A- of AAAA-resourcerecord conflicteert met de update. Verwijder de aangegeven resourcerecord op de pagina met DNS-instellingen en probeer de update opnieuw uit te voeren. |