DNSSEC forklart: Bør du aktivere det for domenet ditt?
DNSSEC signerer DNS-svar kryptografisk, slik at resolveren kan oppdage forfalskning. Her er fordeler, risiko og anbefalinger.
DNSSEC er en sikkerhetsutvidelse for DNS. Den gjør det mulig å kontrollere at DNS-svar faktisk kommer fra riktig kilde og ikke er manipulert underveis. For domener som brukes til virksomhet, e-post og innlogging, kan dette være et viktig ekstra lag.
Men DNSSEC må settes opp riktig. Feil DNSSEC kan gjøre domenet utilgjengelig.
Hva beskytter DNSSEC mot?
Vanlig DNS har historisk ikke hatt innebygd verifisering. En resolver spør etter en post og får et svar, men svaret er ikke kryptografisk signert.
DNSSEC hjelper mot:
- DNS-spoofing
- cache poisoning
- manipulering av DNS-svar
- falske negative svar om at en post ikke finnes
Med DNSSEC kan resolveren avvise svar som ikke har gyldig signatur.
Hva beskytter DNSSEC ikke mot?
DNSSEC er ikke kryptering av DNS-trafikk. Det skjuler ikke hvilke domener som slås opp. Det erstatter heller ikke HTTPS, SSL-sertifikat, tofaktor eller god kontosikkerhet.
DNSSEC gir:
- autentisitet
- integritet
DNSSEC gir ikke:
- konfidensialitet
- beskyttelse mot hacket webserver
- beskyttelse mot feil DNS-poster du selv legger inn
- automatisk bedre SEO
Hvordan fungerer DNSSEC?
DNSSEC signerer DNS-poster med kryptografiske nøkler. Resolveren kan sjekke signaturen mot den offentlige nøkkelen og følge en tillitskjede opp til toppdomenet, for eksempel .no.
Viktige DNSSEC-poster:
| Post | Rolle |
|---|---|
| DNSKEY | Offentlig nøkkel for sonen |
| RRSIG | Signatur for DNS-poster |
| DS | Kobler domenet til foreldresonen |
| NSEC/NSEC3 | Beviser at en post ikke finnes |
For .no-domener må DS-posten registreres riktig hos registrar for at kjeden skal være komplett.
Bør du aktivere DNSSEC?
For de fleste seriøse virksomheter er svaret ja, hvis DNS-leverandør og registrar håndterer det ryddig. DNSSEC er spesielt aktuelt hvis domenet brukes til:
- nettbutikk
- kundepålogging
- e-post for bedrift
- offentlige tjenester
- merkevarekritisk kommunikasjon
- finans, rådgivning eller andre tillitsbransjer
Hvis du ofte bytter DNS-leverandør, eksperimenterer med sonen eller ikke har kontroll på hvem som administrerer DNS, bør du rydde opp før DNSSEC aktiveres.
Risiko ved feil oppsett
Feil DNSSEC kan gi valideringsfeil. Da kan resolverne som sjekker DNSSEC nekte å returnere svar, selv om vanlige DNS-poster ser riktige ut.
Vanlige feil:
- DS-post peker til gammel nøkkel
- DNSSEC er aktiv hos registrar, men ikke hos DNS-leverandør
- nøkler roteres feil
- sone signeres ikke etter endring
- domenet flyttes uten DNSSEC-plan
Dette er grunnen til at DNSSEC bør håndteres av leverandører som støtter det ordentlig.
Sjekkliste før aktivering
- Bruker domenet stabile navnetjenere?
- Støtter DNS-leverandøren DNSSEC?
- Støtter registraren DS-poster for toppdomenet?
- Har du kontroll på DNS-flytting og nøkkelrotasjon?
- Vet du hvordan du slår av DNSSEC trygt ved bytte?
DNSSEC for .no-domener
.no støtter DNSSEC, og det er vanlig at seriøse norske domenetjenester tilbyr dette. Hos Vymo er DNSSEC en naturlig del av sikkerhetsbildet for .no-domener, sammen med SSL, gode DNS-poster og ryddig e-postautentisering.
Kort oppsummert
DNSSEC gjør DNS mer pålitelig ved å signere svar. Det stopper ikke alle angrep, men det reduserer risikoen for at brukere sendes til feil server gjennom forfalskede DNS-svar. For bedrifter som er avhengige av domenet sitt, er DNSSEC som regel verdt å aktivere, så lenge oppsettet håndteres riktig.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.