DNSSEC er en utvidelse av DNS-systemet som øker sikkerheten for nettbrukere. Utvidelsen kan beskytte mot angrep der falske oppslag gjøres mot DNS (Domain Name System) og begrenser risikoen for å få opp falske nettsteder fra feil kilde. Ved å gå inn på falske nettsteder – uten at man vet om det – kan man bli utsatt for svindel og bli frastjålet kredittkortinformasjon. DNSSEC er et globalt tiltak for å unngå dette.
For å få fullt utbytte av denne nye teknologien må din internettleverandør ha integrert støtte for dette. Uten at nettleverandører som både PC’er og smartmobiler kobler seg til har støtte for teknologien, vil ikke dette fungere som tiltenkt. Det er derfor viktig at alle nettleverandører (ordinært nett og mobilnett) har såkalte “rekursive tjenere” som forkaster spørringer med mangelfulle signaturer mellom rotnavnetjenere og publiserende navnetjenere som er tilknyttet et domene. Kort sagt må signaturen matche flere steder, slik at tilgangen blir validert.
Hva er navnetjener? En navnetjener inneholder all informasjon om hvilke servere et domenenavn skal peke til for å håndtere e-post, nettsider og andre tjenester.
Integrasjon hos oss
Eksempelvis har vi disse publiserende navnetjerne: ns1.uniweb.no og ns3.uniweb.no. DNSSEC er integrert på disse navnetjenerne, slik at de møter standarden. 90,3% av alle .no-domener vi har navnetjeneste for er signert med DNSSEC.
Hvis internettleverandøren du er koblet til også har støtte for dette, så vil trafikken mellom domenenavnet og brukeren valideres. Det betyr at ingen falske DNS-tjenere kan koble seg på for å hente trafikken, fordi slike falske DNS-tjenere ikke har den riktige signaturen. Samsvarer ikke signaturen blir trafikken avvist/stoppet.
Sjekk din nettleverandør
Det kan lønne seg å kontakte internettleverandøren din for å sjekke om de har påslått DNSSEC i sine systemer. Har de ikke det, så blir det vanskelig for systemet å kontrollere signaturer mot de ulike navnetjenerne.
Her kan du sjekke om din nettleverandør har dette påslått. Dersom validering på denne siden mislykkes, bør du kontakte din internettleverandør for å be dem om å slå på DNSSEC. Alternativt kan du benytte Google sine navnetjenere for din internettoppkobling. Googles navnetjenere støtter DNSSEC.
Her viser nettsiden dnssec.fail at nettleverandøren Tafjord Marked ikke støtter teknologien.
Her viser dnssec.fail en feilmelding. Dette betyr at Telenors mobilnett er sikret med DNSSEC.
God start i Norge
Det må sies at Norid og norske nett- og navnetjener-leverandører har kommet godt i gang med DNSSEC. Bruken av validering for DNS-oppslag mot .no-domener har økt fra rundt 10% i 2014 til over 70% i dag.
Imidlertid er mange av de største nettstedene fortsatt usikret. Per 23. desember 2016 var bare 12% av de 50 mest brukte .no-domenene sikret. I følge digi.no mener Norid at noe av årsaken til dette kan være at de større nettstedene drifter sin egen navnetjeneste (DNS) og kanskje ikke har integrert DNSSEC i sine systemer grunnet manglende kapasitet eller kompetanse.
Hos de fleste større registrarer, inkludert Uniweb, er imidlertid signering integrert, noe som gjør at registraren kan signere .no-domener på vegne av alle sine kunder. Dette bidrar til en sikkerhet som gjør at domeneeiere langt på vei kan garantere for at kunder til enhver tid når det korrekte nettstedet – uten å bli snappet opp av uvaliderte mellomledd.
I Norids video nedenfor kan du få en rask innføring om DNSSEC: