Deel 4 van de serie "EU-webbeveiliging: in 10 stappen naar een betere rating"
Het onzichtbare fundament
Voordat uw browser een website kan laden, moet deze de domeinnaam omzetten naar een IP-adres. Dat is wat het Domain Name System (DNS) doet — en het heeft een fundamenteel probleem: het is in 1983 ontworpen zonder authenticatie. Iedereen die DNS-antwoorden kan manipuleren, kan gebruikers omleiden naar willekeurige servers.
Een aanvaller op hetzelfde netwerk kan DNS-antwoorden vervalsen en uw klanten omleiden naar een perfecte kopie van uw website — compleet met een geldig Let's Encrypt-certificaat als er geen CAA-record de uitgifte beperkt.
DNSSEC-adoptie in de EU: 15,8%. Slechts één op zes domeinen is beschermd.
De cijfers
- DNSSEC: 15,8% gevalideerd
- CAA (Certification Authority Authorization): 3,0%
- DANE/TLSA: minder dan 1%
97% van de Europese domeinen heeft geen CAA-record. Dat betekent: elke certificeringsautoriteit ter wereld kan een geldig certificaat uitgeven voor uw domein — inclusief een aanvaller met toegang tot een gecompromitteerde CA.
Wat is DNSSEC?
DNSSEC (Domain Name System Security Extensions, RFC 4033-4035) ondertekent DNS-antwoorden cryptografisch. De opvragende nameserver kan verifiëren dat het antwoord daadwerkelijk van de autoritatieve nameserver komt en niet is gemanipuleerd.
Zonder DNSSEC: uw-domein.com -> 93.184.216.34 (niet verifieerbaar)
Met DNSSEC: uw-domein.com -> 93.184.216.34 + RRSIG (cryptografisch ondertekend)
Hoe u DNSSEC inschakelt
DNSSEC wordt ingeschakeld bij de DNS-provider, niet op uw server.
Stap 1: controleer uw DNS-provider
De meeste grote providers ondersteunen DNSSEC:
| Provider | DNSSEC-ondersteuning | Activering |
|---|---|---|
| Cloudflare | Ja | Eén klik in het dashboard |
| AWS Route 53 | Ja | Via CLI of Console |
| Google Cloud DNS | Ja | Via CLI of Console |
| Azure DNS | Ja | Via Portal of CLI |
| OVH | Ja | DNS Zone > DNSSEC inschakelen |
| Hetzner | Ja | DNS Console > DNSSEC inschakelen |
| GoDaddy | Ja | Domeininstellingen > DNSSEC |
Stap 2: schakel DNSSEC in
Bij de meeste providers is het één schakelaar in het DNS-beheerpaneel. De provider genereert de DNSSEC-sleutels en ondertekent de zone automatisch.
Stap 3: voeg het DS-record toe bij de registrar
Als uw DNS-provider en registrar verschillend zijn (bijv. domein bij GoDaddy, DNS bij Cloudflare), moet u het DS-record handmatig toevoegen bij de registrar. Het DS-record is het vertrouwensanker — het koppelt uw domein aan de DNSSEC-handtekening.
Cloudflare toont het DS-record dat u bij uw registrar moet invoeren.
Stap 4: verifieer de validatie
dig +dnssec uw-domein.com
Als het antwoord de ad-vlag (Authenticated Data) bevat, is DNSSEC actief en gevalideerd.
CAA: wie mag certificaten uitgeven?
Een CAA-record (RFC 8659) bepaalt welke certificeringsautoriteiten TLS-certificaten mogen uitgeven voor uw domein:
uw-domein.com. IN CAA 0 issue "letsencrypt.org"
uw-domein.com. IN CAA 0 issuewild ";"
issue "letsencrypt.org"— alleen Let's Encrypt mag certificaten uitgevenissuewild ";"— geen wildcardcertificaten van wie dan ook
3% van de EU-domeinen heeft een CAA-record. De overige 97% vertrouwt blindelings elke CA ter wereld.
Veelgemaakte fouten
1. DNSSEC inschakelen zonder monitoring. Als DNSSEC-handtekeningen verlopen (fout bij sleutelrotatie), wordt het domein onbereikbaar voor alle DNSSEC-validerende resolvers. Zorg dat uw provider sleutels automatisch roteert.
2. CAA te streng instellen. Als u van CA-provider wisselt en vergeet het CAA-record bij te werken, mislukt de certificaatvernieuwing.
3. DANE zonder DNSSEC. DANE/TLSA-records werken alleen met DNSSEC — zonder de handtekening kan een aanvaller ook het TLSA-record vervalsen.
Regelgevende context
- NIS2 Art. 21(2) — DNS-infrastructuur maakt deel uit van de cyberbeveiligingsmaatregelen voor netwerk- en informatiesystemen
- NIS2 Art. 28 — specifieke verplichtingen voor DNS-dienstverleners en TLD-registers
- AVG Art. 32 — DNS-spoofing kan leiden tot phishing en daarmee tot datalekken
Controleer uw DNS-beveiliging
SiteGuardian controleert DNSSEC-validatie, CAA-records, DANE/TLSA en DNS-hygiëne (open zone transfers, verweesde records):
Volgende week in Deel 5: security.txt — de RFC 9116-standaard die ENISA aanbeveelt en die 97,2% van de EU-websites niet heeft.