In dit artikel leggen we uit hoe je een TLSA-record instelt binnen de DNS instellingen van je domeinnaam.
Let op: Het gebruik van TLSA-records is voor gevorderde gebruikers. In dit artikel geven we aan wat je met een TLSA-record kunt doen en hoe je deze toevoegt voor de domeinnamen binnen je controlepaneel.
Belangrijk: Wij leveren geen inhoudelijke ondersteuning op het opzetten van een TLS-server of het configureren van TLSA-records. Mocht je hier meer informatie over willen, raden we aan hier online onderzoek naar te doen. In de RFC vind je meer informatie over het gebruik en instellen van TLSA-records.
TLSA-records (Transport Layer Security Authentication) worden gebruikt om een TLS-server (X.509) certificaat of 'public key' aan een domeinnaam te koppelen waar het TLSA-record in staat. Hierdoor wordt een zogenaamde 'TLSA certificate association' aangemaakt.
Waar voeg ik een TLSA-record toe?
DNS-records voeg je eenvoudig en kosteloos toe via je controlepaneel. Klik in het linkermenu op 'Domein' en klik vervolgens in de linkerkolom op het domein waar je het TLSA-record voor wilt instellen (niet aanvinken).
Scrol nu naar 'Geavanceerd Domeinbeheer', gevolgd door 'DNS'. Zie je dit nog niet terug, zet dan eerst de schakelaar om achter 'TransIP instellingen'. Je ziet daarna een overzicht terug van jouw DNS-records, die je vervolgens naar wens kan aanpassen.
Hoe stel ik een TLSA-record in?
Een TLSA-record is opgebouwd uit een reeks onderdelen. Bij het instellen van een TLSA-record is het van belang dat je de juiste volgorde aanhoudt.
- Portnummer
- Transportprotocol
- Het domein
- De 'Usage Field'
- De 'Selector Field'
- De 'Matching-Type Field'
- De hash op basis van het X.509 certificaat
In het onderstaande voorbeeld zie je hoe je een TLSA-record opbouwt voor het root domein in je controlepaneel.
Naam
Een TLSA-record stel je in door met de naam te beginnen. Hierin geef je het portnummer en het transportprotocol op.
Voer je een TLSA-record voor het root domein in, dan hoef je alleen het portnummer en het transportprotocol toe te voegen.
Voer je een TLSA-record voor een subdomein in, dan voer je het portnummer, het transportprotocol en het subdomein in.
In beide gevallen sluit je de naam niet af met een punt. In de bovenstaande afbeeldingen zie je een correcte invoer van de naam van een TLSA-record voor zowel het root domein als een subdomein.
TTL
De 'TTL' van een DNS-record bepaalt hoe lang het record in de cache mag blijven staan. Wij raden aan om de TTL laag te houden, bijvoorbeeld op 5 minuten.
Type
Omdat je een TLSA-record wilt instellen, kies je onder 'Type' voor 'TLSA'.
Waarde
In de waarde voer je opeenvolgend de 'Usage Field', de 'Selector Field', de 'Matching-Type Field' en de hash van het X.509 certificaat in.
In de onderstaande afbeelding hebben we de volgende gegevens ingevuld:
- Usage Field: Certificate Authority Constraint (0)
- Selector Field: Use full certificate (0)
- Matching-Type Field: SHA-256 hash (1)
- Hash: d2abde240d7cd3ee6b4b28c54df034b97983a1d16e8a410e4561cb106618e971
Tips voor het opstellen van een TLSA-record
Zoals vermeld bieden we geen directe ondersteuning op het configureren van een TLSA-record. We kunnen uiteraard wel enkele tips meegeven die dit een stuk duidelijker en eenvoudiger maken.
Deze TLSA-record Generator is gemaakt door Shumon Huque en is bij uitstek geschikt om een TLSA-record aan te maken.
Meer informatie en uitleg over het gebruik van een TLSA-record kun je terugvinden in de RFC van TLSA-records.
Dit artikel heeft het instellen van een TLSA-record behandeld. Voor een uitleg over andere DNS-records en het invoeren hiervan check je het artikel 'Wat zijn DNS en nameservers?'.
Mocht je na het lezen van dit artikel nog vragen hebben, neem dan contact op met onze supportafdeling. Je bereikt hen via de knop 'Neem contact op' aan de onderzijde van deze pagina.