Neem contact op

Als er nog steeds onduidelijkheden zijn of als de voorkeur is om alsnog met een medewerker in contact te komen, vul dan een aanvraag in. Wij zullen dan zo snel mogelijk contact proberen te zoeken

Vul het onderstaande contactformulier in, dan proberen wij zo snel mogelijk te reageren.

  • Home
  • Website

Een TLSA record instellen voor DANE

Contact Ons

Als er nog steeds onduidelijkheden zijn of als de voorkeur is om alsnog met een medewerker in contact te komen, vul dan een aanvraag in. Wij zullen dan zo snel mogelijk contact proberen te zoeken

Vul het onderstaande contactformulier in, dan proberen wij zo snel mogelijk te reageren.

  • Algemeen
  • Administratie
    Factuur Registratie Opzeggen Klantenpaneel
  • Mail
    Hosted Exchange Microsoft CSP Externe mail Errors
  • Domein
    DNS Domeinnamen
  • Hosting
    Dedicated server / VPS Plesk Reseller Hosting WHM / cpanel Webhosting Trage server / sites DirectAdmin
  • Website
    SSL Wordpress Installatron
+ More

Table of Contents

Wat zijn DANE en TLSA? Voor- en nadelen van TLSA/DANE Voordelen: Nadelen: Een TLSA record aanmaken Roteren van het record

Websites worden steeds vaker beveiligd door de DANE standaard te implementeren. Daarvoor heb je een TLSA record nodig en DNSSEC moet ingeschakeld zijn voor het domein. Met behulp van dit artikel kun je beter beslissen of je DANE wilt implementeren en hierna zou je zelf een TLSA record moeten kunnen instellen.

Wat zijn DANE en TLSA?

  • DANE (DNS-based Authentication of Named Entities): Dit maakt het mogelijk om via DNS extra beveiliging toe te voegen aan je HTTPS-verbindingen. Dit werkt m.b.v. een TLSA record en DNSSEC.
  • TLSA (Transport Layer Security Authentication): Een type DNS-record dat jouw SSL-certificaat koppelt aan je domein. Dit voorkomt dat hackers nep-certificaten gebruiken om je website te misbruiken.

Kort gezegd: DANE + TLSA maakt je website extra veilig door certificaatgegevens in je DNS op te slaan.

Voor- en nadelen van TLSA/DANE

Voordelen:

  • Extra beveiliging tegen aanvallen met nep-certificaten.
  • Certificaatgegevens worden onafhankelijk gecontroleerd via DNS.
  • Geschikt voor hoge beveiligingseisen (bijv. financiële instellingen).

Nadelen:

  • Elke keer dat er een nieuw certificaat geinstalleerd wordt moet je je TLSA-record bijwerken.
    (dus ook ieder jaar na het verlengen)
  • Vereist dat DNSSEC correct is ingesteld, wat soms complex is.
  • Niet alle browsers en mailservers ondersteunen DANE al volledig.

Een TLSA record aanmaken

Een TLSA-record is opgebouwd uit verschillende onderdelen in een specifieke volgorde:

  • Poortnummer
  • Protocol
  • De domeinnaam
  • Het 'Usage Field'
  • Het 'Selector Field'
  • Het 'Matching-Type Field'
  • De hash op basis van het X.509 certificaat

In de praktijk ziet dat er dan bijvoorbeeld zo uit:

Om het jezelf wat gemakkelijker te maken kun je gebruik maken van een online TLSA generator zoals één van deze drie:

https://www.tlsagenerator.com/

https://ssl-tools.net/tlsa-generator

https://www.huque.com/bin/gen_tlsa

Roteren van het record

Bij elke verlenging of aanpassing van het TLS certificaat van het domein moet er een nieuwe hash gegenereerd worden en moet ook het TLSA record dus vervangen worden.

  • Doe dit ruimschoots voordat het nieuwe certificaat in werking treedt i.v.m. de TTL ("Time To Life") van de DNS records.
  • Laat het oude TLSA record gewoon maar even staan, want het is geen probleem als er twee tegelijk ingesteld staan - er hoeft er maar eentje te matchen met het certificaat.
  • Na +/- 48 uur kan het oude TLSA record veilig verwijderd worden.

 

plesk installeren

Was dit artikel behulpzaam?

Ja
Nee
Geef feedback op dit artikel

Gerelateerde Artikelen

  • TLS 1.0 en TLS 1.1 uitgefaseerd
  • Hoe installeer ik een eigen SSL Certificaat?
  • Je SPF record wijzigen

Copyright 2025 – Proserve B.V. (iXL).

Knowledge Base Software powered by Helpjuice

Vergroot