Geen resultaten gevonden
LJPc hosting
  1. Terug naar:
  2. home
  3. kennisbank
  4. dns
  5. DANE

DANE

Een cruciale stap voorwaarts in DNS beveiliging
DANE

In de wereld van internetbeveiliging zijn er twee technologieën die je waarschijnlijk al kent: DNSSEC en HSTS. Beide spelen een cruciale rol in het beschermen van de communicatie tussen jouw browser en de websites die je bezoekt. Maar er is nog een andere technologie die je zou moeten kennen: DANE. Laten we eens kijken wat DANE is en waarom het zo belangrijk is.

Wat is DANE?

DANE, of DNS-based Authentication of Named Entities, is een protocol dat een extra beveiligingslaag toevoegt aan de communicatie tussen jouw browser en websites. Het bouwt voort op de beveiligingsfuncties van DNSSEC en HSTS en biedt een manier om de authenticiteit van de verbinding tussen jou en de website te verifiëren. Dit vermindert het risico op man-in-the-middle-aanvallen en DNS-spoofing.

Hoe werkt DANE?

DANE werkt door het gebruik van TLSA-records in de DNS-zone van een domein. Deze records bevatten informatie over het TLS-certificaat dat door de website wordt gebruikt. Wanneer je verbinding maakt met een website, kan je browser het TLSA-record van de website controleren om te verifiëren dat het certificaat dat door de website wordt gepresenteerd, overeenkomt met het certificaat dat in het TLSA-record is opgeslagen.

Dit betekent dat zelfs als een aanvaller erin slaagt om een valse HTTPS-verbinding op te zetten (bijvoorbeeld door een vals certificaat te presenteren), je browser de valse verbinding kan detecteren en jou kan waarschuwen. Dit maakt DANE een krachtig hulpmiddel in de strijd tegen man-in-the-middle-aanvallen en andere vormen van cybercriminaliteit.

Waarom is DANE belangrijk?

DANE is belangrijk omdat het een extra beveiligingslaag toevoegt aan de communicatie tussen jouw browser en de websites die je bezoekt. Het maakt gebruik van de beveiligingsfuncties van DNSSEC en HSTS en biedt een manier om de authenticiteit van de verbinding tussen jou en de website te verifiëren. Dit vermindert het risico op man-in-the-middle-aanvallen en DNS-spoofing, waardoor je veiliger kunt surfen op het internet.

expert
Hoe stel je DANE in?

Het instellen van DANE op je website is een technisch proces dat nauwkeurigheid en een goed begrip van DNS en TLS vereist. Hier is een algemeen overzicht van de stappen die je moet volgen:

1. Genereer een TLSA-record:

Het eerste wat je moet doen is een TLSA-record genereren voor je domein. Dit record bevat informatie over het TLS-certificaat dat door je website wordt gebruikt. Je kunt een TLSA-record genereren met behulp van het OpenSSL-commando. Hier is een voorbeeld van hoe je dit kunt doen:

echo | openssl s_client -connect [domeinnaam]:443 2>/dev/null | openssl x509 -outform DER | openssl dgst -sha256

Vervang [domeinnaam] door je eigen domeinnaam. Dit commando geeft je de SHA-256 hash van je TLS-certificaat, wat je nodig hebt voor je TLSA-record.

Een voorbeeld van de manier waarop wij het TLSA record voor onze SMTP service hebben aangemaakt:

Aanmaken van een TLSA record voor de SMTP service van LJPc

In dit geval is 7428b287a5917808efe71431061c3f4cc00c1a68089f78248aac821e60da9ab5 nodig voor het TLSA record.

2. Voeg het TLSA-record toe aan je DNS-zone:

Nadat je je TLSA-record hebt gegenereerd, moet je het toevoegen aan de DNS-zone van je domein. Het exacte proces hiervoor varieert afhankelijk van je DNS-provider, dus je moet hun documentatie raadplegen voor specifieke instructies. Het TLSA-record moet worden toegevoegd aan een specifieke locatie in je DNS-zone, namelijk _443._tcp.[domeinnaam].

Naast de sleutel die we in stap 1 aangemaakt hebben, moeten er ook nog 3 getallen toegevoegd worden:

  1. "Usage": Dit veld geeft aan hoe de in het record gespecificeerde informatie moet worden gebruikt. Er zijn vier mogelijke waarden:
    0  Het certificaat dat overeenkomt met dit TLSA-record moet worden gebruikt voor een volledige certificaatverificatie van de server.
    1  Het certificaat dat overeenkomt met dit TLSA-record moet worden gebruikt voor certificaatverificatie van de servernaam.
    2  Het certificaat dat overeenkomt met dit TLSA-record moet worden gebruikt voor certificaatverificatie van de aangeboden vertrouwde certificatenketen.
    3  Het certificaat dat overeenkomt met dit TLSA-record moet worden gebruikt voor certificaatverificatie van de servernaam en aangeboden vertrouwde certificatenketen.
  2. "Selector": Dit veld geeft aan welk deel van het certificaat moet worden gebruikt voor de certificaatverificatie. Er zijn twee mogelijke waarden:
    0  Het volledige certificaat wordt gebruikt.
    1  Alleen de publieke sleutel van het certificaat wordt gebruikt.
  3. "Matching Type": Dit veld geeft aan hoe de in het TLSA-record gespecificeerde informatie moet overeenkomen met het certificaat op de server. Er zijn drie mogelijke waarden:
    0  De informatie moet exact overeenkomen met het certificaat.
    1  De informatie moet overeenkomen met het SHA-256 hashresultaat van het certificaat.
    2  De informatie moet overeenkomen met het SHA-512 hashresultaat van het certificaat.

Het uiteindelijke record ziet er als volgt uit:

Voorbeeld TLSA record

Dit is het exacte record dat we toepassen op een van onze MX servers.

3. Verifieer je TLSA-record:

Nadat je je TLSA-record hebt toegevoegd aan je DNS-zone, moet je verifiëren dat het correct is ingesteld. Je kunt dit doen op de manier die we hieronder tonen.

Let op: dit is een technisch proces dat enige ervaring met DNS en command line tools vereist. Als je niet zeker bent van wat je doet, raden we je aan om hulp te zoeken bij een professional. Het verkeerd instellen van DANE kan problemen veroorzaken met de toegankelijkheid van je website, dus het is belangrijk om dit proces met zorg te benaderen.

Hoe controleer je of DANE is ingeschakeld?

Voor de technisch onderlegde lezers onder ons, is er een manier om te controleren of DANE correct is ingesteld voor jouw domein. Dit kan gedaan worden met behulp van de command line tool genaamd dig. Het commando dat je moet gebruiken is dig _443._tcp.[domeinnaam] TLSA, waarbij je [domeinnaam] vervangt door de naam van je domein.

In de uitvoer van dit commando, let op de TLSA records. Als je deze records ziet, dan is DANE correct ingesteld.

Bijvoorbeeld, om te controleren of DANE correct is ingesteld voor ljpc-hosting.nl, zou je het volgende commando gebruiken: dig _443._tcp.ljpc-hosting.nl TLSA.

Let op: deze methode is bedoeld voor gebruikers die bekend zijn met de command line interface. Als je zeker wil weten dat alles goed is ingesteld, raden we aan om contact op te nemen via de gebruikelijke kanalen.

Het is ook mogelijk om onze DNS checker te gebruiken:

DNS record verkenner

Gebruik deze widget om de DNS records van een specifiek domein op te halen. Voer de domeinnaam in en klik op de knop om de huidige records op te halen.

Domeinnaam: DNS record:

Hulp nodig?

Heb je vragen over het instellen van DANE, of wil je meer informatie over DNS-beveiliging? Neem gerust contact op met onze supportafdeling. We staan altijd klaar om je te helpen bij het succesvol configureren van je DNS-instellingen en het verbeteren van de beveiliging van je domein en website. Zo zorgen we ervoor dat je online activiteiten veilig en betrouwbaar blijven.

Start een
WhatsApp gesprek.

Makkelijk en snel.

Support ticket
aanmaken.

Binnen 24 uur een reactie.

085 - 130 6429

Of mail naar: support@ljpc.nl

Openingstijden:
Ma09:00 - 17:00
Di09:00 - 17:00
Wo09:00 - 17:00
Do09:00 - 17:00
Vr09:00 - 17:00
Za/Zo Gesloten (alleen spoed)

LJPc

Jouw partner voor maatwerk software,
apps en hosting.

KVK-nummer: 60528125
BTW-ID: NL002335582B26
E-mail: info@ljpc.nl

LJPc hosting is een 100% compliant hoster

Links

LJPc solutions
LJPc apps
LJPc hosting
Development
WordPress
iOS apps
Android apps
Domeinnamen
Webhosting
Shared hosting
Dedicated servers

Support

Kosten support
Veel gestelde vragen
Kennisbank
Systeemstatus

© 2022 LJPc  |  Alle rechten voorbehouden
Algemene voorwaarden  |  Privacyverklaring