DNSSECNår dagens DNS standard ble definert hadde den ikke noen sikkerhetsdetaljer. I stedet ble denne DNS standarden designet for å være et raskt og skalerbart distribuert system. Innføringen av DNSSEC er et forsøk på å legge til manglende sikkerhet til den usikre DNS standarden.

Hva er DNSSEC?

DNSSEC er en forkortelse for Den Domain Name System Security Extensions.

I korte trekk er DNSSEC en sikkerhetsstandard som sørger for at DNS svarene vi får når vi slår opp et domene kommer fra den riktige kilden og at dataene ikke er manipulert underveis. DNSSEC anbefales aktivisert for å unngå misbruk av ditt domene.

Den nye sikkerhetsstandarden for DNS systemer

DNSSEC er et globalt tiltak for å unngå den svindel som kan oppstå ved at vi går går inn på falske nettsteder – uten at vi vet om det – og bli frastjålet kredittkortinformasjon. RFC 3833 dokumenterer noen av de kjente truslene mot DNS og hvordan DNSSEC reagerer på disse truslene.

DNSSEC styrker DNS autentiseringen ved hjelp av digitale signaturer som er basert på public key kryptografi. Selv om DNS spørringene ikke gir svar som er kryptografisk signert, gir de en garanti for at DNS- dataene er signert av eieren av dataene. DNSSEC gir dermed sikkerhet for at DNS svarene er autentiske, men garanterer ikke for konfidensialiteten siden dataene ikke er krypterte.

DNSSEC er utviklet for å beskytte applikasjoner (og caching resolvers som betjener disse programmene) fra å bruke manipulerte DNS-data som oppstår ved DNS-cache-forgiftning. Dvs. falske DNS oppslag og skal begrense risikoen for å få opp falske nettsteder som kommer fra feil kilde. 

Hver DNS- sone har et offentlig / privat nøkkelpar. Sone eieren bruker sonens private nøkkel til å signere DNS- data i sonen og generere digitale signaturer over disse dataene. Som navnet “privat nøkkel” innebærer, er dette nøkkelmaterialet hemmelig av sonenes eier. Soneens offentlige nøkkel er imidlertid publisert i sonen selv for alle som skal hente. 

Enhver rekursiv navnetjener som slår opp recordene i sonefilen, henter også sonens offentlige nøkkel, som den bruker til å validere ektheten av DNS- dataene. Oppløseren bekrefter at den digitale signaturen over DNS- dataene den hentet, er gyldig (dvs. umodifisert og fullstendig) og kommer fra en autoritativ DNS-server. Er DNS signaturen valid er dataene legitime og returneres til brukeren. Hvis signaturen ikke blir validert, returneres en feil til brukeren istedenfor recordens data.

Hvordan aktivisere DNSSEC?

Etter 15. juli 2019 får alle som registrerer et domene med webhotell hos OnNet spørsmål om de ønsker å aktivisere DNSSEC til sitt domene eller ikke. De som registrerte sitt domene hos OnNet før denne datoen kan få DNSSEC aktivisert ved å sende en e-post til post@onnet.no med teksten “Ønsker DNSSEC aktivisert for (ditt domenenavn)“. Å aktivisere DNSSEC koster ingenting. Det eneste du trenger å gjøre er å sende oss en beskjed om at du ønsker DNSSEC til ditt domene, sammen med en angivelse av hva som er ditt domene. I løpet av samme dag vil DNSSEC være aktivisert.

Hvordan sjekke om DNSSEC er aktivisert?

Den enkleste måten å sjekke om DNSSEC er aktivisert for ditt domene er å logge inn på cPanel og klikke på ikonet “Zone Editor“.

Klikk her på DNSSEC hengelåsen som vist på illustrasjonen under:

dnssec

På siden du nå kommer til kan du se om tjenesten er aktivisert eller ikke. Ser bilde slik ut er tjenesten IKKE aktivisert:

Selv om det ser ut til å være mulig å aktivisere DNSSEC for ditt domene selv, er dette ikke tilfelle. Dette fordi OnNet må rapportere inn korrekt DNSSEC nøkkel til navneserverne til Norid. Noe som må gjøres manuelt av OnNet. DNSSEC aktivisert du ved å sende en e-post til post@onnet.no med teksten “Ønsker DNSSEC aktivisert for (ditt domenenavn)“.