Domein + DNS aanbeveling

Elke drie maanden je DNS aanpassen voor een LetsEncrypt certificaat?

Hier goede ervaringen met de DNS van Cloudflare, zeker in combinatie met hun Zero Trust tunnels.

Ik heb domein en dns bij mijn.host lopen. Nameservers naar Cloudflare laten wijzen en daar alles ingesteld. Als mijn.host ineens de prijzen ver zou ophogen, ga ik naar de volgende. Nameservers instellen en weer klaar.

Heb je de TTL van je DNS-records wel goed staan? Als die langer staan, kan het inderdaad langer duren voordat wijzigingen doorgevoerd zijn.

Verder zijn er letterlijk honderden topics over 'welke domein-provider', dus doe vooral zelf goed onderzoek. Ikzelf ben ook bij mijn.host uitgekomen, omdat zij op dit moment goedkoop en onafhankelijk zijn. Maar hecht je vooral niet teveel aan welke provider dan ook, wat nu goed is, kan volgende week een naar graaibedrijf zijn en dan stap je weer over. Zo gaat dat nu eenmaal.

[ Voor 57% gewijzigd door Room42 op 10-08-2025 16:35 ]

KvdnBerg schreef op zondag 10 augustus 2025 @ 17:40:
[...]


[...] maar toch werden die wijzigingen direct opgepakt door de DNS, nu dus niet meer. Ook een nieuw dns record is niet direct beschikbaar [...]

Dat kan natuurlijk ook nog aan je lokale DNS-server liggen. Heb je het al eens getest op de server achter het NS-record van je domein?

Anyway, voor dat soort records kun je de TTL beter op 5 minuten zetten, dan is het zo geregeld. Daarnaast heb ik met mijn.host geen enkel probleem. En anders kun je altijd nog naar externe nameservers, zoals Cloudflare, of Europese varianten. Dan sla je de NS van je domeinprovider gewoon over.

KvdnBerg schreef op zondag 10 augustus 2025 @ 13:13:
Nu heb ik ook al een paar jaar SSL certificatie via LetsEncrypt die ik elke drie maanden vernieuw.

Dat kan automatisch, hoe hangt af van de tooling welke je gebruikt.

en nu blijkt dat de DNS records niet direct worden geüpdate,

Dat is hoe DNS werkt. Hangt ook af hoe je TTL stond en staat. Wat niet helpt is als hij op 24 uur stond, hem op 5 minuten zetten en dan verwachten dat de wijziging binnen 5 minuten doorkomt. Die wijziging komt pas na max 24 uur door. Daarna pas geldt 5 minuten en dan nog, niet alle DNS servers en ook niet je lokale DNS cliënt houden zich daar strict aan. Dus bij wijzigen van je DNS dien je altijd een bepaalde TTL in acht te nemen.

Maar, voor de duidelijkheid; voor Letsencrypt heb je dit niet nodig. Er zijn meer manieren om je cert te vernieuwen en die kunnen nog automatisch ook.

KvdnBerg schreef op zondag 10 augustus 2025 @ 13:13:
Heb al een beetje gelezen hier over Versio en ik zie o.a. aanbevelingen voor cloud86. Kan iemand bevestigen dat het DNS beheer hier een beetje lekker werkt?

Versio zou ik niet doen, daar heb ik nog een trauma van (maar verdrongen, dus ik weet ook niet meer wat er ook al weer mis was hiermee).

Cloud86 is prima, maar juist het DNS-beheer heeft een beetje rare eigenschap dat als ik een TTL van 60 invul, dat ie er toch weer de standaardwaarde 14400 van maakt, en dit is dan weer op te lossen door het DNS-record nóg een keer te editen, en er dan weer gauw 60 van te maken, als je dat snel genoeg doet gaat het nog goed (en anders moet je dus écht 4 uur wachten). Ze zijn niet de allergoedkoopste, maar ook niet echt duur ofzo, en verder wel prima.

Mijn.host lijkt me momenteel echter de beste, en het grappige is dat ik de afgelopen dagen 6 van mijn 9 domeinen over heb gezet naar hun, en dat is naar aanleiding van dit topic (@HansMij en @Room42 bedankt voor de tip), zij zijn dus ongeveer de goedkoopste, en het DNS-beheer werkt heel goed en snel, daarnaast reageren ze ook altijd heel snel op een vraag (in die 2 dagen dat ik klant ben heb ik ze al aardig met wat vragen bestookt), en één van mijn te verhuizen domeinen heeft meer dan 40 DNS-records, dus op mijn vraag of ik deze kon meeverhuizen zonder het allemaal opnieuw in te tikken, hebben ze dat voor me geregeld (en snel ook). Dus ze hebben ook goede service.

Dus ik zou zeggen, ga naar mijn.host.
Ze hebben overigens ook een API, waarbij je voor Let's Encrypt ook je DNS-wijzigingen in je sslcertificaatvernieuwscript kan verwerken (waarom doe je dat overigens via DNS en niet via HTTP?)

KvdnBerg schreef op zondag 10 augustus 2025 @ 17:40:
[...]


Stond op 3600 maar dat was nog vanuit de vorige keer dat ik het bij QDC heb aangepast waar dat de standaard waarde was, maar toch werden die wijzigingen direct opgepakt door de DNS, nu dus niet meer. Ook een nieuw dns record is niet direct beschikbaar (in dat geval kon ik het oplossen door de txt records voor LetsEncrypt na het genereren van het nieuwe certificaat te verwijderen en ze de volgende keer nieuw aan te maken).

Mijn voornaamste punt is dus dat de DNS wijzigingen/nieuwe DNS regels direct werken zoals ik dat bij QDC gewend was. Vandaar ook mijn vraag, ik snap dat er zat topics zijn over domein/hosting partijen in het algemeen maar het gaat me specifiek om deze vraag.

Als je niet snapt hoe TTL werkt kan je behoorlijk bedrogen uit gaan komen bij je nieuwe hoster. Je hebt verschillende TTL-waarden. Die van je record zelf, waarmee wordt aangegeven hoe lang andere DNS-servers die in cache moeten houden, en die van je zone (SOA) waarbij je in dit geval naar het MINIMUM-veld (de laatste) moet kijken. Die geeft aan hoe lang een record wat niet bestaat "onthouden" moet worden, zodat je niet de DNS-server van je host lastig blijft vallen bij een typo bijvoorbeeld.

Neem als voorbeeld een zone example.com met MINIMUM 1800 en een CNAME-record www.example.com -> a.example.com met een TTL van 3600. Normaliter als je een record opvraagt doe je dat bij je eigen caching nameserver, die dat vervolgens verder upstream bij andere caching nameservers of zelfs bij de root-servers opvraagt. Dat record wordt in alle tussenliggende caching nameservers gecached voor "TTL seconden".
Als je nou www.example.com aanpast zodat 'ie naar b.example.com wijst en direct daarna dat opvraagt kunnen er verschillende dingen gebeuren:
1. jij of een andere gebruiker van jouw DNS-server of een van de andere tussenliggende caching DNS-servers heeft in de afgelopen 3600 seconden (specifiek X seconden geleden), maar voorafgaand aan jouw wijziging, dat record opgevraagd. Die staat dan nog in de cache en wordt vanuit de cache geserveerd, dus niet opgevraagd bij de nameservers van je domein (hostingpartij). Ook al heb je de TTL aangepast naar 5 seconden toen je de wijziging deed, dat weten de tussenliggende servers nog niet, dus die gaan ook niet kijken totdat de originele TTL verlopen is. Resultaat: a.example.com (TTL 3600-X).
2. in de afgelopen 3600 seconden is dat record niet opgevraagd bij een van die genoemde caching servers. Het hele riedeltje wordt doorlopen en het record wordt bij de nameservers van je domein opgevraagd. Resultaat: b.example.com (TTL 3600).
3. er zit een caching server tussen die niet netjes meespeelt en of de boel altijd opvraagt (resultaat 2), of lekker een eigen TTL hanteert van 86400 ofzo (resultaat 1). Maar dat komt tegenwoordig niet heel veel meer voor.

Analoog hieraan bestaan deze scenario's ook voor het aanmaken van een nieuw CNAME test.example.com -> www.example.com. Bij het opvragen van test.example.com kan dan het volgende gebeuren:
1. iemand heeft in de afgelopen 1800 seconden (specifiek X seconden geleden) maar vóór het aanmaken van dat record test.example.com opgevraagd en als antwoord gekregen dat het niet bestaat. Omdat het record zelf niet bestaat is er geen TTL voor maar wordt de MINIMUM in je SOA gehanteerd. Resultaat: NXDOMAIN test.example.com (TTL 1800-X)
2. het is niet eerder opgevraagd in de afgelopen 1800 seconden, dus de nameservers van je domein worden weer geraadpleegd. Resultaat: www.example.com (TTL 3600).

Waarschijnlijk ben je bij je wijzigingen relatief vaak tegen scenario 2 aangelopen en recent vaker tegen scenario 1. Dat is verder onafhankelijk van je DNS-hostingpartij dus diezelfde problemen kunnen bij elke partij optreden. Wat wel kan is dat je nieuwe hostingpartij standaard lagere TTLs hanteert, wat je zelf gewoon in had kunnen stellen, en dat je daarom denkt dat ze "beter" zijn. Dat kost die hostingpartij vooral meer data omdat records vaker bij hun servers worden opgevraagd omdat ze minder lang gecached worden.

Bij het aanmaken of wijzigen van records ga je bovendien het beste ervanuit dat het minimaal een minuut duurt voordat ze bij alle nameservers van je hoster zijn doorgevoerd. Dat kan ook nog het verschil tussen scenario's 1 en 2 betekenen. Daarom query ik bij wijzigingen eerst altijd direct de nameserver van mijn domein voordat ik het in een browser intyp (wat de normale caching nameservers gebruikt). Maar omdat het uiteindelijke resultaat niet alleen maar van jezelf afhangt maar ook van wat alle andere gebruikers van die tussenliggende servers doen, is het beste gewoon jezelf neer te leggen bij het feit dat je worst-case gewoon de hele TTL moet wachten voordat je wijzigingen zichtbaar zijn. Als het écht direct doorgevoerd moet worden dan doe je dat in twee stappen: eerst verlaag je de TTL tot 60 of zelfs 10 ofzo, dan wacht je de gehele originele TTL af (3600) en pas daarna doe je de daadwerkelijke wijziging. Dan is de crossover-periode waarin je beide antwoorden terug zou kunnen krijgen zo kort mogelijk.

KvdnBerg schreef op woensdag 24 september 2025 @ 10:24:
[...]

Dan ga ik daarna even kijken wat handig is w.b. LetsEncrypt

Weet niet welke reverse proxy je gebruikt, maar voor Caddy is er een module voor mijn.host die automatisch certificaten kan aavragen via DNS01 challenge.

Module moet je wel installeren. Maar werkt als een trein.

[ Voor 4% gewijzigd door lodu op 25-09-2025 16:21 ]