Naar hoofdinhoud

Wat is DNSSEC? Bescherm je domein tegen spoofing

Gepubliceerd op 3 juli 2026 7 min leestijd

DNSSEC beveiligt je DNS met digitale handtekeningen tegen spoofing en cache poisoning. Lees hoe het werkt en hoe je het voor je domein activeert.

Vlakke vector-illustratie: een figuur beveiligt een servergroep met een schild met vinkje, terwijl een keten van hangslotjes het domein via een wereldbol met de root verbindt en een vervalst verzoek wordt tegengehouden.

DNSSEC is een beveiligingsuitbreiding van het Domain Name System (DNS) die DNS-antwoorden voorziet van een digitale handtekening. Daarmee kan de computer die namens jouw bezoeker een domeinnaam opzoekt, controleren of het antwoord echt van jouw domein komt en onderweg niet is aangepast. In dit artikel lees je wat DNSSEC is, waarom het belangrijk is tegen DNS-spoofing en cache poisoning, hoe het werkt met een keten van vertrouwen en met DS- en DNSKEY-records, en hoe je het voor jouw domein activeert.

Wat is DNSSEC?

DNSSEC staat voor Domain Name System Security Extensions. Het DNS is het telefoonboek van internet: het vertaalt een domeinnaam naar het juiste IP-adres, bijvoorbeeld via het A-record. Het klassieke DNS heeft alleen geen ingebouwde controle op de echtheid van een antwoord. Een resolver, de DNS-server die de opzoeking voor je uitvoert, gelooft in principe elk antwoord dat binnenkomt.

DNSSEC lost dat op door aan elk antwoord een digitale handtekening toe te voegen. Een resolver die DNSSEC controleert, kan zo nagaan of het antwoord van de juiste bron komt en niet is vervalst. Belangrijk om te weten: DNSSEC bewijst de echtheid en integriteit van DNS-gegevens, maar het versleutelt je DNS-verkeer niet. Het maakt de antwoorden dus betrouwbaar, niet geheim.

Waarom is DNSSEC belangrijk?

Zonder DNSSEC kan een aanvaller proberen valse DNS-antwoorden tussen te voegen. Dat heet DNS-spoofing, en wanneer zo'n vals antwoord in de tussenopslag van een resolver belandt, spreek je van cache poisoning. De resolver deelt het vervalste antwoord dan een tijd lang met iedereen die het domein opvraagt.

Het gevolg is dat bezoekers ongemerkt naar een verkeerde server worden gestuurd, terwijl ze de juiste domeinnaam in hun adresbalk zien staan. Dat opent de deur naar phishing, het aftappen van wachtwoorden en het onderscheppen van e-mail. DNSSEC voorkomt dat zo'n vervalsing werkt: een resolver die de handtekening controleert, herkent een vervalst antwoord en weigert het.

DNSSEC vult andere beveiligingsmaatregelen aan. HTTPS beveiligt de verbinding met je server en een CAA-record bepaalt wie certificaten voor je domein mag uitgeven, terwijl DNSSEC de opzoeking zelf beschermt. Samen dekken ze verschillende lagen af.

Hoe werkt DNSSEC?

DNSSEC werkt met digitale handtekeningen en met een keten van vertrouwen die tot aan de root van het DNS reikt. Een paar begrippen helpen om te begrijpen wat er gebeurt.

Ondertekenen met sleutels

Bij het aanzetten van DNSSEC wordt jouw zone ondertekend. Elke set records krijgt een digitale handtekening, die wordt opgeslagen in een RRSIG-record. Je A-record en je andere records blijven dus gewoon bestaan, maar er komt een handtekening bij.

De bijbehorende publieke sleutels staan in DNSKEY-records. Meestal zijn er twee rollen: een Key Signing Key (KSK) die de sleutelset ondertekent, en een Zone Signing Key (ZSK) die de gewone records ondertekent. Sommige providers gebruiken hiervoor een enkele, gecombineerde sleutel.

De keten van vertrouwen

De koppeling met de buitenwereld verloopt via het DS-record. Dat is een korte hash (een soort vingerafdruk) van jouw sleutel en het staat niet in jouw eigen zone, maar in de bovenliggende zone bij de registry: de beheerder van de domeinextensie. Voor .nl is dat SIDN.

Zo ontstaat een keten: de root van het DNS wijst naar de topleveldomeinen zoals .nl, .nl wijst via het DS-record naar jouw domein, en jouw domein ondertekent zijn eigen records. De root is sinds 2010 ondertekend en vormt het vertrouwensanker. Een validerende resolver controleert de handtekeningen stap voor stap omhoog tot aan die root. Klopt er een schakel niet, dan wordt het antwoord geweigerd.

DNSSEC ondertekent ook het antwoord op een vraag naar een naam die niet bestaat. Daarvoor dienen de NSEC- en NSEC3-records: die bewijzen op een ondertekende manier dat een record er echt niet is, zodat ook een leeg antwoord niet vervalst kan worden.

De belangrijkste DNSSEC-records en hun functie
RecordFunctie
DNSKEYBevat de publieke sleutels van jouw zone
RRSIGDe digitale handtekening bij elke set records
DSHash van jouw sleutel in de bovenliggende zone, legt de link met de registry
NSEC / NSEC3Bewijst op ondertekende wijze dat een record niet bestaat

DNSSEC activeren: stap voor stap

DNSSEC activeren gebeurt altijd aan twee kanten. Eerst zet je de ondertekening aan bij de partij die jouw DNS beheert, en daarna publiceer je het DS-record bij je registrar, zodat de registry het in de bovenliggende zone plaatst. Is dat dezelfde partij, dan is het vaak een kwestie van een enkele handeling.

  1. Zorg dat je domein de nameservers van je DNS-provider gebruikt. Bij LJPc hosting zijn dat ns1.ljpc.network tot en met ns4.ljpc.network. Meer hierover lees je in het artikel over het NS-record.
  2. Zet DNSSEC of zone-ondertekening aan bij je DNS-provider. Die maakt de sleutels aan, ondertekent de zone en vernieuwt de handtekeningen automatisch.
  3. Publiceer het DS-record (of de DNSKEY) bij je registrar, zodat de registry jouw domein in de keten van vertrouwen opneemt.
  4. Controleer daarna met een DNSSEC-controletool of een validerende resolver of de keten klopt.

Bij LJPc hosting is DNSSEC beschikbaar voor domeinen die bij LJPc zijn geregistreerd en de LJPc-nameservers gebruiken. Omdat LJPc zowel je DNS als je domeinregistratie beheert, wordt het DS-record automatisch in de bovenliggende zone gepubliceerd. Je hoeft dus zelf geen sleutels of hashes over te typen. De status van ondertekende domeinen wordt bovendien doorlopend bewaakt. Wil je DNSSEC laten aanzetten of weet je niet zeker of het al actief is, neem dan contact op met support.

Of DNSSEC mogelijk is, hangt af van de domeinextensie. De meeste topleveldomeinen ondersteunen het inmiddels. Voor .nl geldt dat SIDN DNSSEC ondersteunt en dat meer dan de helft van alle .nl-domeinen ondertekend is. .nl gebruikt daarbij moderne, efficiënte sleutels op basis van ECDSA (algoritme 13).

DNSSEC controleren en veelgemaakte fouten

Na het activeren is controleren belangrijk, want een fout in DNSSEC valt niet altijd meteen op. Gebruik een online DNSSEC-controletool of voer de opdracht dig +dnssec jouwdomein.nl uit en kijk of je RRSIG-regels terugziet en of de AD-vlag (Authenticated Data) gezet is. Die vlag betekent dat de resolver het antwoord succesvol heeft gevalideerd.

De meeste problemen ontstaan doordat de twee kanten niet op elkaar aansluiten, of doordat DNSSEC in de verkeerde volgorde wordt uitgezet.

Veelvoorkomende DNSSEC-problemen en hun oplossing
SymptoomOorzaakOplossing
Site of e-mail onbereikbaar (SERVFAIL) na het aanzettenHet DS-record past niet bij de actieve sleutel, of de handtekeningen zijn verlopenControleer dat het DS-record hoort bij de huidige sleutel en laat je provider de zone opnieuw ondertekenen
DNSSEC lijkt aan, maar wordt niet gevalideerdEr staat nog geen DS-record bij de registrarPubliceer het DS-record in de bovenliggende zone
Domein onbereikbaar na een verhuizing van DNS of registrarDNSSEC is niet netjes uitgezet voor de verhuizingVerwijder eerst het DS-record, wacht de TTL af en zet daarna pas de ondertekening uit

Onthoud vooral die laatste regel: verwijder eerst het DS-record en zet DNSSEC daarna pas uit, voordat je je domein of je DNS naar een andere partij verhuist. De TTL is de tijd dat een DNS-antwoord bewaard mag blijven, dus wacht die af voordat je de volgende stap zet.

Kom je er niet uit of wil je zeker weten dat DNSSEC voor jouw domein goed staat? Neem gerust contact op met support van LJPc hosting.

Veelgestelde vragen

Versleutelt DNSSEC mijn DNS-verkeer?

Nee. DNSSEC bewijst dat DNS-antwoorden echt en onveranderd zijn, maar het versleutelt het verkeer niet. Wil je je DNS-opzoekingen ook versleutelen, dan gebruik je DNS over HTTPS (DoH) of DNS over TLS (DoT). Dat staat los van DNSSEC en kan er prima naast bestaan.

Wat is het verschil tussen een DNSKEY-record en een DS-record?

Het DNSKEY-record bevat de publieke sleutel van je eigen zone. Het DS-record staat in de bovenliggende zone bij de registry en is een hash van die sleutel. Het DS-record koppelt jouw domein aan de keten van vertrouwen, zodat de laag erboven jouw sleutel kan vertrouwen.

Heb ik DNSSEC nog nodig als ik al HTTPS gebruik?

Ja. HTTPS beveiligt de verbinding met je server nadat het juiste adres is gevonden. DNSSEC beveiligt de opzoeking zelf, dus de weg naar dat adres. Ze beschermen verschillende stappen en vullen elkaar aan.

Wat gebeurt er als DNSSEC verkeerd is ingesteld?

Validerende resolvers weigeren dan de antwoorden voor jouw domein, waarna bezoekers een SERVFAIL-fout krijgen. Je website en e-mail kunnen daardoor onbereikbaar worden. Controleer daarom altijd na het activeren of de keten klopt.

Moet ik DNSSEC uitzetten voordat ik mijn domein verhuis?

Ja. Verwijder eerst het DS-record bij de registrar, wacht tot de oude waarde is verlopen (de TTL) en zet daarna pas de ondertekening uit. Doe je het in de omgekeerde volgorde, dan ontstaan er validatiefouten en wordt je domein onbereikbaar.

Ondersteunt .nl DNSSEC?

Ja. SIDN, de beheerder van het .nl-domein, ondersteunt DNSSEC en meer dan de helft van alle .nl-domeinen is inmiddels ondertekend. Ook de meeste andere topleveldomeinen ondersteunen DNSSEC.

Toch liever iemand spreken?

We geven je ook graag persoonlijk antwoord op je vragen. Plan een gratis adviesgesprek of bel ons direct. We denken graag met je mee.

Blijf op de hoogte van recente ontwikkelingen! Schrijf je in en ontvang onze nieuwsbrief Bezig met aanmelden... Bedankt voor je inschrijving! Er ging iets mis. Probeer het later opnieuw.