DNSSEC checker
Controleer in één klik of een domein DNSSEC actief heeft, of de chain of trust valideert, en welke algoritmes en digest types worden gebruikt. Toont DNSKEY-records in de zone, DS-records bij de parent, en de cryptografische validatie via Cloudflare DoH met AD-flag check.
Wanneer gebruik je deze DNSSEC-checker?
DNSSEC is cryptografische validatie voor DNS — je browser kan zo zeker weten dat het DNS-antwoord daadwerkelijk van de autoritaire nameserver komt en niet onderweg is gemanipuleerd. Niet kritiek voor de werking van je site, wel een sterke best practice. Concrete situaties waarin deze tool het werk versnelt:
- Verifiëren of DNSSEC echt aan staat"Ik heb DNSSEC aangezet bij mijn registrar" — klopt dat? Tool laat direct zien of DNSKEY en DS daadwerkelijk gepubliceerd zijn.
- Na DNS-provider switchBen je net van TransIP naar Cloudflare overgestapt? DS-records moeten opnieuw bij de registrar staan, anders breekt DNSSEC.
- Bij SERVFAIL-meldingenSite werkt soms wel, soms niet? Een mismatch tussen DS en DNSKEY kan SERVFAIL veroorzaken bij DNSSEC-validating resolvers (Cloudflare 1.1.1.1, Google 8.8.8.8).
- Compliance-auditVoor ISO 27001, NEN 7510, of overheidsklanten: DNSSEC moet aan staan en met modern algoritme (13 of 15).
- Algoritme-auditDomein draait al jaren met SHA-1 (algoritme 5/7)? Tijd voor een rollover naar ECDSA P-256 (algoritme 13).
Hoe lees je het resultaat?
- DNSKEY Cryptografische public keys in de zone. Twee types: KSK (Key Signing Key, flags=257) tekent de DNSKEY-set zelf, ZSK (Zone Signing Key, flags=256) tekent gewone records (A, MX, etc.).
- DS Delegation Signer record bij de parent (bijv. SIDN voor .nl). Verwijst naar de KSK in jouw zone via een hash. Zonder DS bij de parent is de chain of trust niet compleet.
- Algoritme 13 ECDSA P-256/SHA-256 — de aanbevolen moderne standaard. Klein, snel, breed ondersteund.
- Algoritme 8 RSA/SHA-256 — ouder maar acceptabel. Gebruik bij voorkeur 13.
- Algoritme 5 / 7 RSA/SHA-1 (al dan niet met NSEC3) — verouderd. Plan een rollover.
- DS digest type 2 SHA-256 — aanbevolen. Type 1 (SHA-1) is verouderd.
- AD-flag Authentic Data: als deze gezet is door de Cloudflare-resolver, valideert de chain of trust succesvol.
Wat ik vaak tegenkom
DS bij oude registrar, DNS bij nieuwe provider. Klant verhuisde DNS van TransIP naar Cloudflare. DNSKEY werd door Cloudflare gepubliceerd, maar de oude DS bij TransIP wees naar de oude TransIP-keys. Resultaat: SERVFAIL bij elke validating resolver. Fix: DS bij registrar bijwerken (of DNSSEC eerst uitzetten vóór de DNS-switch).
Half ingeschakeld DNSSEC. Klant zette DNSSEC aan bij Cloudflare maar vergat de DS-record bij Hostnet (registrar) toe te voegen. Tool zei: "DNSKEY ja, DS nee". Geen kapotte site, maar ook geen DNSSEC-bescherming. Onbedoelde half-staat.
Verouderd algoritme uit 2010. Domein van één van mijn klanten draaide nog op algoritme 5 (RSA/SHA-1) sinds 2010. Werkt nog, maar SHA-1 is officieel broken sinds 2017. Geplanderde key-rollover naar algoritme 13 in een onderhoudsmoment.
Veelgestelde vragen
Wat is DNSSEC en heb ik het echt nodig?
DNSSEC voegt cryptografische handtekeningen toe aan DNS-antwoorden, zodat resolvers kunnen verifiëren dat een DNS-antwoord niet onderweg is gemanipuleerd. Het beschermt tegen DNS-cache-poisoning en sommige man-in-the-middle aanvallen.
Niet kritiek voor de werking van je site, wel sterk aanbevolen voor zakelijke domeinen, banken, overheid en alles met gevoelige data. Voor een gewone marketing-site is het minder kritiek, maar het kost ook bijna niets om aan te zetten.
Hoe activeer ik DNSSEC?
Twee stappen:
- Zet DNSSEC aan bij je DNS-provider. Cloudflare doet het 1-klik, TransIP, Hostnet en Antagonist hebben het in hun panel.
- Publiceer de DS-records bij je registrar. Meestal kopieer-plakken vanuit je DNS-provider, of de DS wordt automatisch doorgegeven via CDS/CDNSKEY (Cloudflare doet dit met SIDN voor .nl).
Pas als beide stappen gedaan zijn valideert de chain of trust. Met deze tool kun je verifiëren of beide kanten goed staan.
Wat als de check "geen DS records" zegt?
Dan heeft je registrar geen DS-record gepubliceerd in de TLD-zone (bijv. bij SIDN voor .nl). Resolvers zien je DNSKEY in de zone niet als vertrouwd — want de chain of trust loopt vanaf de root via de TLD naar jouw zone, en zonder DS bij de parent is die keten gebroken.
Activeer DNSSEC in je registrar-panel of contacteer support. De DS-records moeten daar zichtbaar worden binnen 24 uur na activatie.
Welk algoritme is aanbevolen?
- Algoritme 13 (ECDSA P-256/SHA-256) — moderne standaard. Klein, snel, breed ondersteund. Aanbevolen.
- Algoritme 15 (Ed25519) — nog moderner, beperkte support bij oudere resolvers.
- Algoritme 8 (RSA/SHA-256) — acceptabel, maar grotere keys.
- Algoritme 5 / 7 (RSA/SHA-1) — verouderd, broken. Vervangen.
Voor DS-digest type kies je altijd type 2 (SHA-256), niet type 1 (SHA-1).
Heeft DNSSEC impact op mijn site-snelheid?
Verwaarloosbaar. DNS-resolvers cachen gevalideerde antwoorden net zo lang als gewone DNS-antwoorden. De extra crypto-validatie kost een paar milliseconden bij de eerste lookup en daarna draait alles uit cache. Bezoekers merken er niets van.
Wat doet DNSSEC NIET?
DNSSEC versleutelt DNS-verkeer niet (dat doen DoH en DoT). Het beschermt niet tegen aanvallen op de webserver zelf, niet tegen kapotte SSL-certificaten en niet tegen phishing.
Het garandeert alleen dat het DNS-antwoord dat je krijgt daadwerkelijk van de autoritaire nameserver komt — niet onderweg gemanipuleerd door een aanvaller op het netwerk.
Werkt DNSSEC met Cloudflare proxy (oranje wolkje)?
Ja, Cloudflare ondersteunt DNSSEC volledig — inclusief automatische CDS/CDNSKEY-publicatie naar de TLD voor sommige registrars. De proxy-laag (oranje wolkje) heeft geen impact op DNSSEC; de validatie gebeurt op DNS-niveau, vóórdat verkeer naar de proxy gaat.