DNSSEC – ekstra trygghet

Det kommer stadig ny teknologi som kan øke sikkerheten for nettbrukere. DNSSEC er en av dem og fungerer slik at du kan bli beskyttet mot angrep når du surfer på internett. Dette skjer i form av at DNSSEC brukes som en utvidelse av DNS-systemet (Domain Name System); du unngår å få opp falske nettsteder fra feil kilde. Går du inn på falske nettsteder – uten at du vet om det – kan du bli utsatt for svindel og bli frastjålet sensitiv informasjon som eksempelvis brukernavn, passord og kredittkortinformasjon. DNSSEC er et verdensomspennende tiltak for å unngå dette.

Støttes av internettleverandører

Det kreves at internettleverandørene har integrert støtte for dette for å få godt utbytte av teknologien. DNSSEC fungerer ikke som tiltenkt hvis det ikke er aktivert hos nettleverandører som både PC’er og smarttelefoner kobler seg til. Hver enkelt nettleverandør – både for ordinært nett og mobilnett – må sette opp såkalte «rekursive tjenere» som avviser spørringer med mangelfulle signaturer mellom rotnavnetjenere og publiserende navnetjenere som domener er tilknyttet. Signaturen må altså matche flere steder, slik at tilgangen blir validert.

Hva er en navnetjener? På en navnetjener finner man informasjon om serverne et domenenavn skal peke til for håndtering av e-post, nettsider og andre tjenester.

Integrasjon hos oss

Domenenavn.no har eksempelvis disse publiserende navnetjerne: ns1.domenenavn.no og ns2.domenenavn.no. På disse navnetjenerne er DNSSEC aktivert, slik at de møter standarden.

Dersom internettleverandøren du er koblet til også støtter DNSSEC, vil trafikken mellom domenenavnet og brukeren godkjennes. Ingen falske DNS-tjenere kan dermed koble seg på for å hente data, fordi de falske DNS-tjenerne ikke har riktig signatur. Matcher ikke signaturen blir trafikken stoppet.

Sjekk nettleverandøren din

Kontakt gjerne internettleverandøren din for å sjekke om de har aktivert DNSSEC i systemene sine. Hvis det ikke er aktivert, blir det vanskelig for systemet å kontrollere signaturer mot navnetjenerne.

Her kan det sjekkes om din nettleverandør har aktivert DNSSEC. Om validering på denne siden ikke går igjennom, kan du kontakte din internettleverandør for å få dem til å slå på DNSSEC. Du kan også eventuelt bruke Googles navnetjenere for internettoppkoblingen din. Navnetjenerne til Google støtter DNSSEC.

Her viser nettsiden dnssec.fail at nettleverandøren ikke støtter DNSSEC. "If you can read this, then your client is NOT doing correct DNSSEC validation"

Her viser nettsiden dnssec.fail at nettleverandøren ikke støtter DNSSEC

Her viser dnssec.fail en feilmelding som betyr at mobilnettet er sikret med DNSSEC.

Her viser dnssec.fail en feilmelding som betyr at mobilnettet er sikret med DNSSEC.

Bra start i Norge

Norid, som har rotnavnetjenere for norske domenenavn, og mange andre norske nett- og navnetjener-leverandører har fått integrert støtte for DNSSEC. Validering av DNS-oppslag mot .no-domener har økt fra ca. 10% i 2014 til over 70% i dag.

Det er likevel mange av de største nettsidene som fortsatt ikke er sikret . Per 23. desember 2016 var det bare 12% av de 50 mest brukte .no-domenene som var sikret. Norid mener at noe av grunnen til dette kan være at de større nettstedene drifter egen navnetjeneste (DNS) og kanskje ikke har integrert DNSSEC i sine systemer på grunn av manglende kapasitet eller kompetanse.

Hos de fleste store registrarer, inkludert oss, er imidlertid signering integrert. Registraren kan dermed signere .no-domener på vegne av alle sine kunder. Dette øker sikkerheten og gjør at domeneeiere kan garantere at brukere/kunder alltid får opp det riktige nettstedet – uten å bli snappet opp av uvaliderte mellomledd.

Norid har laget en video hvor du får en rask innføring i DNSSEC: