Hva er DNSSEC, og hvorfor er det viktig?
DNSSEC beskytter DNS mot forfalskning og cache poisoning ved å signere svar kryptografisk. Lær hvordan det fungerer, og hvordan du aktiverer det for .no-domener.
DNS er fundamentet som internett hviler på – men i sin opprinnelige utforming ble det designet uten sikkerhet i tankene. Det betyr at svar fra DNS-servere i utgangspunktet ikke er verifisert: en angriper kan i prinsippet forfalske svar og sende brukere til feil adresser. DNSSEC er svaret på dette problemet.
Hva er DNS-spoofing og cache poisoning?
Før vi forklarer DNSSEC, er det nyttig å forstå hva det beskytter mot.
DNS-spoofing (eller cache poisoning) er en type angrep der en ondsinnet aktør lykkes med å legge falske DNS-svar inn i cachen til en rekursiv resolver. Når dette skjer, kan resolvers rundt om i verden levere feil IP-adresse for et domene – og brukere ender opp på en falsk server kontrollert av angriperen, uten at verken de eller nettleseren nødvendigvis merker noe.
Konsekvensene kan være alvorlige: stjålne innloggingsopplysninger, phishing og avlytting av trafikk.
DNSSEC hindrer ikke at angripere kan sende falske svar – men det gjør at resolvers kan avsløre falske svar og avvise dem.
Hva er DNSSEC?
DNSSEC (Domain Name System Security Extensions) er en utvidelse av DNS som legger til kryptografisk signering av DNS-poster. Med DNSSEC signeres alle svar fra den autoritative navnetjeneren med en privat nøkkel. Resolveren kan deretter verifisere signaturen ved hjelp av den tilhørende offentlige nøkkelen – og slik bekrefte at svaret er autentisk og ikke manipulert underveis.
DNSSEC gir to garantier:
- Autentisitet – svaret kommer fra riktig kilde
- Integritet – svaret er ikke endret siden det ble signert
DNSSEC krypterer derimot ikke innholdet i DNS-svarene. For det trengs DNS over HTTPS (DoH) eller DNS over TLS (DoT), som er separate teknologier.
Hvordan fungerer DNSSEC teknisk?
DNSSEC innfører noen nye posttyper i DNS-sonen:
| Posttype | Funksjon |
|---|---|
| RRSIG | Kryptografisk signatur for en DNS-post (Resource Record Signature) |
| DNSKEY | Den offentlige nøkkelen som brukes til å verifisere signaturer |
| DS | Delegation Signer – kobler nøkkelen til foreldresonen (f.eks. .no) |
| NSEC / NSEC3 | Bekrefter at en DNS-post ikke finnes (hindrer «falsk positiv») |
Tillitskjeden fungerer slik:
- Din sone signeres med et nøkkelpar (ZSK og KSK).
- En DS-post (fingeravtrykk av din nøkkel) registreres hos foreldresonen – for
.no-domener vil dette si hos Norid. - Norids sone er signert av IANA/ICANN, som igjen forvalter rotsonen.
- Resolvere som støtter DNSSEC kan nå verifisere hele kjeden fra rot og ned til ditt domene.
Dette kalles en chain of trust – en tillitskjede.
DNSSEC og .no-domener
.no-sonen støtter og anbefaler DNSSEC. Norid har publisert sin DNSKEY i rotsonen, og det er fullt mulig å aktivere DNSSEC for ditt .no-domene. Når du aktiverer DNSSEC hos Vymo, genereres nøklene automatisk, og DS-posten sendes videre til Norid.
Merk at DNSSEC krever at DNS-infrastrukturen er konsistent: alle navnetjenere for domenet må servere de signerte postene. Endrer du navnetjenere uten å håndtere DNSSEC riktig, kan domenet bli utilgjengelig for resolvers som validerer DNSSEC.
Slik aktiverer du DNSSEC hos Vymo
Prosessen er enkel når du bruker Vymo som DNS-leverandør:
- Logg inn på kontrollpanelet
- Velg domenet du vil sikre
- Gå til DNSSEC eller Sikkerhet
- Aktiver DNSSEC – nøkler genereres automatisk
- DS-posten sendes automatisk til Norid for
.no-domener
Bruker du en ekstern DNS-leverandør (for eksempel Cloudflare), aktiverer du DNSSEC der og registrerer DS-posten manuelt via Vymo-kontrollpanelet.
Hva skjer hvis DNSSEC er feil konfigurert?
En feilkonfigurert DNSSEC kan gjøre domenet utilgjengelig for resolvers som validerer signaturer. Typiske feil:
- DS-post hos Norid peker til en nøkkel som ikke lenger eksisterer i sonen
- Signaturer er utløpt (RRSIG har en utløpstid)
- Navnetjenere er byttet uten at DNSSEC er oppdatert
Hvis du endrer navnetjenere, må DNSSEC-konfigurasjonen tilpasses. Se Slik endrer du navnetjenere for hva du bør tenke på.
Bør du aktivere DNSSEC?
For de aller fleste domeneeiere er svaret ja – spesielt hvis:
- Du driver et nettsted der brukere logger inn eller oppgir sensitiv informasjon
- Du bruker e-post med domenet og vil beskytte mot forfalskning
- Du vil vise profesjonalitet og ta sikkerhet på alvor
DNSSEC er gratis å aktivere og gir et ekstra lag med beskyttelse uten merkbar ulempe for sluttbrukere. I kombinasjon med HTTPS og riktig SPF, DKIM og DMARC gir det et solid sikkerhetsfundament for domenet ditt.
Har du spørsmål om oppsett, hjelper Kundeservice deg gjerne.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.