Hem / Domäner / DNSSEC för domäner

Domäner

DNSSEC för domäner

DNSSEC är ett tekniskt tillägg som gör det svårare att förfalska svar från DNS. Här är vad det faktiskt löser, vad det inte gör, och när det är läge att aktivera det.

När DNS konstruerades på 1980-talet var målet att göra det enkelt att koppla upp nya datorer mot internet, inte att göra systemet säkert. Den bristen har öppnat för attacker där svar på DNS-uppslagningar förfalskas, så att en besökare tror sig nå rätt webbplats eller bank fast trafiken i själva verket har letts om. DNSSEC, en förkortning för DNS Security Extensions, är svaret på det problemet: en säkerhetsutökning som signerar DNS-poster kryptografiskt så att mottagaren kan kontrollera att ett svar verkligen kommer från rätt källa och inte har manipulerats under överföringen.

De hot DNSSEC är byggt för att stoppa

Två av de mest kända hoten mot DNS är cacheförgiftning och farmning. Cacheförgiftning innebär att en namnserver förses med felaktig DNS-data, antingen genom en riktad attack eller av misstag, vilket kan sprida fel information vidare till andra system som litar på den. Ett av de mest uppmärksammade exemplen var den så kallade Kaminskybuggen som fick stor uppmärksamhet 2008. Farmning går ut på att någon får själva DNS-informationen att peka mot en felaktig server, så att till exempel en banks webbadress i praktiken leder besökaren till en helt annan server, samtidigt som adressfältet fortfarande ser korrekt ut. Med DNSSEC blir den typen av manipulation svår att genomföra utan att upptäckas, eftersom mottagaren kan validera signaturen i svaret och avgöra om informationen är äkta.

Vad DNSSEC inte skyddar mot

Det är lika viktigt att förstå begränsningarna. DNSSEC gör ingenting åt överbelastningsattacker, det vill säga DoS- och DDoS-attacker som helt enkelt försöker slå ut en tjänst genom massiv trafik. Funktionen ger ett visst skydd mot farmning och liknande DNS-manipulation, men den stoppar inte nätfiske i sig, det vill säga sidor som medvetet är byggda för att likna originalet och lura besökare att lämna ifrån sig lösenord. DNSSEC skyddar inte heller mot attacker på IP- eller nätverksnivå. Kort sagt: DNSSEC stärker tilliten till att DNS-svaret är korrekt, men det är inte en universallösning för alla former av internetbedrägeri, och det säger ingenting om säkerheten på själva webbplatsen eller i e-posttrafiken efter att uppslagningen är gjord.

symbol för DNSSEC, ett kedjelås eller sigill kopplat till en domän/DNS-post

Sverige signerade tidigt

Internetstiftelsen har en internationellt uppmärksammad historik inom det här området. Redan hösten 2005 signerade man den svenska toppdomänen med DNSSEC, som första landstoppdomän i världen, och 2007 blev man dessutom först med att erbjuda funktionen till alla innehavare av .se-domäner. Samma möjlighet finns i dag för .nu-domäner. Spridningen av DNSSEC internationellt tog ordentlig fart när internets rotzon signerades sommaren 2010, eftersom det gjorde det enklare för underliggande toppdomäner att följa efter i hierarkin, och togs ytterligare ett steg när ICANN från 2013 började ställa krav på DNSSEC-signering för alla nya toppdomäner.

Så aktiverar du DNSSEC för din domän

DNSSEC erbjuds i dag som tillägg av många registrarer för både .se- och .nu-domäner, och det är den mest effektiva vägen att göra en domän motståndskraftig mot förfalskade DNS-svar. Rent tekniskt innebär det att domäninnehavaren publicerar en så kallad DS-post, ett kondensat av domänens DNSSEC-nycklar, i toppdomänens zon. Är du osäker på om er nuvarande leverantör stödjer det är det första steget att fråga registraren direkt, eftersom aktiveringen sköts på deras sida av tekniken snarare än av innehavaren själv. Har ni ett webbhotell som även sköter er .se-domän, till exempel Loopia, är det ett naturligt ställe att börja fråga om DNSSEC ingår eller kan aktiveras som tillägg. Läs gärna även vår genomgång av hur DNS fungerar i grunden om du vill förstå vad DNSSEC egentligen bygger vidare på, eller om hur DNS-posterna pekas om när ni byter leverantör.

Tänk på DNSSEC som ett komplement, inte en ersättning. Ett SSL-certifikat på webbplatsen, ett bra lösenord till domänkontot och uppmärksamhet mot nätfiske behövs fortfarande – DNSSEC löser bara ett specifikt, men viktigt, problem i kedjan. Vill ni även säkra att er e-post på domänen inte enkelt kan förfalskas krävs separata DNS-poster för avsändarverifiering, utöver DNSSEC.

Vanliga frågor

Vad gör DNSSEC egentligen?

DNSSEC signerar DNS-poster med kryptografiska nycklar, så att den som gör en DNS-uppslagning kan kontrollera att svaret verkligen kommer från rätt källa och inte har manipulerats på vägen. Det gör det svårt att förfalska DNS-information utan att det upptäcks.

Skyddar DNSSEC mot alla typer av attacker?

Nej. DNSSEC skyddar specifikt mot att svar på DNS-frågor manipuleras, som vid cacheförgiftning och farmning. Det gör ingenting åt överbelastningsattacker (DDoS) eller attacker på IP- och nätverksnivå, och det skyddar inte innehållet på webbplatsen eller i e-posten.

Hur aktiverar jag DNSSEC för min domän?

DNSSEC erbjuds som tillägg av många registrarer för både .se- och .nu-domäner. Kontakta din registrar för att aktivera funktionen, som i praktiken innebär att en DS-post publiceras i domänens zon och intygas av toppdomänens drift.

Är Sverige ett föregångsland inom DNSSEC?

Ja. Internetstiftelsen signerade redan hösten 2005 den svenska toppdomänen som första landstoppdomän i världen, och erbjöd 2007 som första aktör DNSSEC till alla innehavare av .se-domäner. Samma funktion erbjuds i dag även för .nu-domäner.

Annonslänkar: Cronaweb kan få provision om du går vidare via länkarna på sidan.