Wat is DNSSEC? Bescherm je domein tegen spoofing
Gepubliceerd op 3 juli 2026 7 min leestijd
DNSSEC beveiligt je DNS met digitale handtekeningen tegen spoofing en cache poisoning. Lees hoe het werkt en hoe je het voor je domein activeert.
DNSSEC is een beveiligingsuitbreiding van het Domain Name System (DNS) die DNS-antwoorden voorziet van een digitale handtekening. Daarmee kan de computer die namens jouw bezoeker een domeinnaam opzoekt, controleren of het antwoord echt van jouw domein komt en onderweg niet is aangepast. In dit artikel lees je wat DNSSEC is, waarom het belangrijk is tegen DNS-spoofing en cache poisoning, hoe het werkt met een keten van vertrouwen en met DS- en DNSKEY-records, en hoe je het voor jouw domein activeert.
Wat is DNSSEC?
DNSSEC staat voor Domain Name System Security Extensions. Het DNS is het telefoonboek van internet: het vertaalt een domeinnaam naar het juiste IP-adres, bijvoorbeeld via het A-record. Het klassieke DNS heeft alleen geen ingebouwde controle op de echtheid van een antwoord. Een resolver, de DNS-server die de opzoeking voor je uitvoert, gelooft in principe elk antwoord dat binnenkomt.
DNSSEC lost dat op door aan elk antwoord een digitale handtekening toe te voegen. Een resolver die DNSSEC controleert, kan zo nagaan of het antwoord van de juiste bron komt en niet is vervalst. Belangrijk om te weten: DNSSEC bewijst de echtheid en integriteit van DNS-gegevens, maar het versleutelt je DNS-verkeer niet. Het maakt de antwoorden dus betrouwbaar, niet geheim.
Waarom is DNSSEC belangrijk?
Zonder DNSSEC kan een aanvaller proberen valse DNS-antwoorden tussen te voegen. Dat heet DNS-spoofing, en wanneer zo'n vals antwoord in de tussenopslag van een resolver belandt, spreek je van cache poisoning. De resolver deelt het vervalste antwoord dan een tijd lang met iedereen die het domein opvraagt.
Het gevolg is dat bezoekers ongemerkt naar een verkeerde server worden gestuurd, terwijl ze de juiste domeinnaam in hun adresbalk zien staan. Dat opent de deur naar phishing, het aftappen van wachtwoorden en het onderscheppen van e-mail. DNSSEC voorkomt dat zo'n vervalsing werkt: een resolver die de handtekening controleert, herkent een vervalst antwoord en weigert het.
DNSSEC vult andere beveiligingsmaatregelen aan. HTTPS beveiligt de verbinding met je server en een CAA-record bepaalt wie certificaten voor je domein mag uitgeven, terwijl DNSSEC de opzoeking zelf beschermt. Samen dekken ze verschillende lagen af.
Hoe werkt DNSSEC?
DNSSEC werkt met digitale handtekeningen en met een keten van vertrouwen die tot aan de root van het DNS reikt. Een paar begrippen helpen om te begrijpen wat er gebeurt.
Ondertekenen met sleutels
Bij het aanzetten van DNSSEC wordt jouw zone ondertekend. Elke set records krijgt een digitale handtekening, die wordt opgeslagen in een RRSIG-record. Je A-record en je andere records blijven dus gewoon bestaan, maar er komt een handtekening bij.
De bijbehorende publieke sleutels staan in DNSKEY-records. Meestal zijn er twee rollen: een Key Signing Key (KSK) die de sleutelset ondertekent, en een Zone Signing Key (ZSK) die de gewone records ondertekent. Sommige providers gebruiken hiervoor een enkele, gecombineerde sleutel.
De keten van vertrouwen
De koppeling met de buitenwereld verloopt via het DS-record. Dat is een korte hash (een soort vingerafdruk) van jouw sleutel en het staat niet in jouw eigen zone, maar in de bovenliggende zone bij de registry: de beheerder van de domeinextensie. Voor .nl is dat SIDN.
Zo ontstaat een keten: de root van het DNS wijst naar de topleveldomeinen zoals .nl, .nl wijst via het DS-record naar jouw domein, en jouw domein ondertekent zijn eigen records. De root is sinds 2010 ondertekend en vormt het vertrouwensanker. Een validerende resolver controleert de handtekeningen stap voor stap omhoog tot aan die root. Klopt er een schakel niet, dan wordt het antwoord geweigerd.
DNSSEC ondertekent ook het antwoord op een vraag naar een naam die niet bestaat. Daarvoor dienen de NSEC- en NSEC3-records: die bewijzen op een ondertekende manier dat een record er echt niet is, zodat ook een leeg antwoord niet vervalst kan worden.
| Record | Functie |
|---|---|
| DNSKEY | Bevat de publieke sleutels van jouw zone |
| RRSIG | De digitale handtekening bij elke set records |
| DS | Hash van jouw sleutel in de bovenliggende zone, legt de link met de registry |
| NSEC / NSEC3 | Bewijst op ondertekende wijze dat een record niet bestaat |
DNSSEC activeren: stap voor stap
DNSSEC activeren gebeurt altijd aan twee kanten. Eerst zet je de ondertekening aan bij de partij die jouw DNS beheert, en daarna publiceer je het DS-record bij je registrar, zodat de registry het in de bovenliggende zone plaatst. Is dat dezelfde partij, dan is het vaak een kwestie van een enkele handeling.
- Zorg dat je domein de nameservers van je DNS-provider gebruikt. Bij LJPc hosting zijn dat ns1.ljpc.network tot en met ns4.ljpc.network. Meer hierover lees je in het artikel over het NS-record.
- Zet DNSSEC of zone-ondertekening aan bij je DNS-provider. Die maakt de sleutels aan, ondertekent de zone en vernieuwt de handtekeningen automatisch.
- Publiceer het DS-record (of de DNSKEY) bij je registrar, zodat de registry jouw domein in de keten van vertrouwen opneemt.
- Controleer daarna met een DNSSEC-controletool of een validerende resolver of de keten klopt.
Bij LJPc hosting is DNSSEC beschikbaar voor domeinen die bij LJPc zijn geregistreerd en de LJPc-nameservers gebruiken. Omdat LJPc zowel je DNS als je domeinregistratie beheert, wordt het DS-record automatisch in de bovenliggende zone gepubliceerd. Je hoeft dus zelf geen sleutels of hashes over te typen. De status van ondertekende domeinen wordt bovendien doorlopend bewaakt. Wil je DNSSEC laten aanzetten of weet je niet zeker of het al actief is, neem dan contact op met support.
Of DNSSEC mogelijk is, hangt af van de domeinextensie. De meeste topleveldomeinen ondersteunen het inmiddels. Voor .nl geldt dat SIDN DNSSEC ondersteunt en dat meer dan de helft van alle .nl-domeinen ondertekend is. .nl gebruikt daarbij moderne, efficiënte sleutels op basis van ECDSA (algoritme 13).
DNSSEC controleren en veelgemaakte fouten
Na het activeren is controleren belangrijk, want een fout in DNSSEC valt niet altijd meteen op. Gebruik een online DNSSEC-controletool of voer de opdracht dig +dnssec jouwdomein.nl uit en kijk of je RRSIG-regels terugziet en of de AD-vlag (Authenticated Data) gezet is. Die vlag betekent dat de resolver het antwoord succesvol heeft gevalideerd.
De meeste problemen ontstaan doordat de twee kanten niet op elkaar aansluiten, of doordat DNSSEC in de verkeerde volgorde wordt uitgezet.
| Symptoom | Oorzaak | Oplossing |
|---|---|---|
| Site of e-mail onbereikbaar (SERVFAIL) na het aanzetten | Het DS-record past niet bij de actieve sleutel, of de handtekeningen zijn verlopen | Controleer dat het DS-record hoort bij de huidige sleutel en laat je provider de zone opnieuw ondertekenen |
| DNSSEC lijkt aan, maar wordt niet gevalideerd | Er staat nog geen DS-record bij de registrar | Publiceer het DS-record in de bovenliggende zone |
| Domein onbereikbaar na een verhuizing van DNS of registrar | DNSSEC is niet netjes uitgezet voor de verhuizing | Verwijder eerst het DS-record, wacht de TTL af en zet daarna pas de ondertekening uit |
Onthoud vooral die laatste regel: verwijder eerst het DS-record en zet DNSSEC daarna pas uit, voordat je je domein of je DNS naar een andere partij verhuist. De TTL is de tijd dat een DNS-antwoord bewaard mag blijven, dus wacht die af voordat je de volgende stap zet.
Kom je er niet uit of wil je zeker weten dat DNSSEC voor jouw domein goed staat? Neem gerust contact op met support van LJPc hosting.
Veelgestelde vragen
Versleutelt DNSSEC mijn DNS-verkeer?
Nee. DNSSEC bewijst dat DNS-antwoorden echt en onveranderd zijn, maar het versleutelt het verkeer niet. Wil je je DNS-opzoekingen ook versleutelen, dan gebruik je DNS over HTTPS (DoH) of DNS over TLS (DoT). Dat staat los van DNSSEC en kan er prima naast bestaan.
Wat is het verschil tussen een DNSKEY-record en een DS-record?
Het DNSKEY-record bevat de publieke sleutel van je eigen zone. Het DS-record staat in de bovenliggende zone bij de registry en is een hash van die sleutel. Het DS-record koppelt jouw domein aan de keten van vertrouwen, zodat de laag erboven jouw sleutel kan vertrouwen.
Heb ik DNSSEC nog nodig als ik al HTTPS gebruik?
Ja. HTTPS beveiligt de verbinding met je server nadat het juiste adres is gevonden. DNSSEC beveiligt de opzoeking zelf, dus de weg naar dat adres. Ze beschermen verschillende stappen en vullen elkaar aan.
Wat gebeurt er als DNSSEC verkeerd is ingesteld?
Validerende resolvers weigeren dan de antwoorden voor jouw domein, waarna bezoekers een SERVFAIL-fout krijgen. Je website en e-mail kunnen daardoor onbereikbaar worden. Controleer daarom altijd na het activeren of de keten klopt.
Moet ik DNSSEC uitzetten voordat ik mijn domein verhuis?
Ja. Verwijder eerst het DS-record bij de registrar, wacht tot de oude waarde is verlopen (de TTL) en zet daarna pas de ondertekening uit. Doe je het in de omgekeerde volgorde, dan ontstaan er validatiefouten en wordt je domein onbereikbaar.
Ondersteunt .nl DNSSEC?
Ja. SIDN, de beheerder van het .nl-domein, ondersteunt DNSSEC en meer dan de helft van alle .nl-domeinen is inmiddels ondertekend. Ook de meeste andere topleveldomeinen ondersteunen DNSSEC.