DNS en DNSSEC
Last modified by Ad Min on 2026/03/10 15:27
DNS en DNSSEC
Nameservers
| Server | IP | Rol | Zones |
|---|---|---|---|
| ns1.rhebergen.net | 185.47.61.211 | Primary | rhebergen.net, rhebergen.org |
| ns2.nerderlands.net | 45.14.112.14 | Secondary (rhebergen.net), Primary (nerderlands.net) | nerderlands.net, rhebergen.net (slave) |
| ns6.gandi.net | 217.70.177.42 | Secondary (Gandi) | rhebergen.net (slave) |
DNSSEC
Beide zones gebruiken NSEC3RSASHA1 (algoritme 7).
Maandelijks onderhoud:
- Serial ophogen in zonefile (formaat: YYYYMMDDNN)
- Zone ondertekenen met sign script
- BIND herladen met rndc reload
Jaarlijks (key rotation):
- Oude keys naar OLD_keys/
- Nieuwe ZSK genereren (2048 bit)
- Nieuwe KSK genereren (4096 bit)
- $INCLUDE regels in zonefile bijwerken
- Ondertekenen en herladen
- DS records bij Gandi registrar bijwerken
Verificatie:
# Signature expiry controleren
dig @ns1.rhebergen.net rhebergen.net A +dnssec
# Volledige validatie
delv @1.1.1.1 rhebergen.net A +rtrace
# Alle nameservers vergelijken
for ns in ns1.rhebergen.net ns2.nerderlands.net ns6.gandi.net; do
echo -n "$ns: "; dig @$ns rhebergen.net SOA +short | awk '{print $3}'
done
Laatst uitgevoerd:
- ns1 key rotation: 3 januari 2026
- ns2 key rotation: 4 februari 2026