DNSSEC - Vägen till säkrade domäner

Det är genom uppslagningar i domännamnssystemet DNS som det går att hitta fram till rätt dator på Internet när man till exempel surfar eller skickar e-post till en viss webbadress. DNS är en gigantisk databas som översätter domännamn till IP-adresser, det vill säga de unika nummerserier som identifierar Internetuppkopplade datorer. Man kan likna det vid hur en telefonkatalog ”översätter” namn till telefonnummer.

Säkerhetsrisker med vanlig DNS

När DNS skapades på 1980-talet var huvudtanken att minimera den centrala administrationen av nätverket och göra det lätt att koppla upp nya datorer till Internet. Eftersom man inte fäste någon större vikt vid säkerheten kring detta har det öppnats upp möjligheter för olika typer av missbruk och attacker där svaren på DNS-uppslagningar förfalskas. På så vis kan Internetanvändare ledas fel, exempelvis i syfte att lura av folk känslig information som lösenord och kreditkortsnummer.

DNSSEC skyddar ditt domännamn

Även om man så gott det går försöker täppa till säkerhetshål med de programverktyg som utnyttjas vid DNS-uppslagningar, ligger grundproblemet i hur DNS fungerar. Därför har man utvecklat säkerhetstillägg till DNS som fått beteckningen DNSSEC (DNS Security Extensions). Med DNSSEC säkras domännamnssystemet från missbruk genom att svaren på DNS-uppslagningar signeras kryptografiskt. Då säkerställs att svaren verkligen kommer från rätt källa och inte har ändrats under överföringen.

.SE tidigt ute - övriga toppdomäner följer efter

När .SE i februari 2007 lanserade en fullständig DNSSEC-tjänst var man först i världen. Sedan dess har snöbollen kommit i rullning och alltfler toppdomäner inför nu tekniken. Sommaren 2010 infördes också DNSSEC i Internets så kallade rotzon, den mest grundläggande delen av domännamnssystemet. Ju fler domäner som säkras, desto säkrare och pålitligare blir Internet i sin helhet.

Hur fungerar DNSSEC signeringen?

Om man följer branschstandarder så definieras 2 nyckeltyper; "Key Signing Key" (KSK) och "Zone Signing Key" (ZSK). En zon bör signeras både av KSK och ZSK.

Enkelt beskrivet kan man förklara skillnaderna mellan KSK och ZSK på följande vis:

• KSK som den nyckel som används för att skapa länk mellan barnet (namnservern) och föräldern (toppdomänen).
• ZSK är den nyckel som används för att signera alla poster i zonen på namnservern.

I bägge fallen måste det genereras nya och bytas ut nycklar med jämna mellanrum. Dock kräver nyckelutbyte av KSK att den nya nyckeln även utväxlas hos föräldern (toppdomänen), medan ZSK enbart hanteras på namnservern. Detta medför att frekvensen av nyckelutbyten för KSK och ZSK är olika, ZSK har vanligen mycket kortare giltighetstid.

Nyckelgenerering och nyckelutbyten av KSK och ZSK kan hanteras antingen manuellt eller automatiskt beroende på vilket stöd som finns i den DNS-plattform som används. Om DNSSEC är påslaget för en domän och nyckelhantering missköts så kan detta medföra störningar i tillgängligheten, vilket bör beaktas vid val av DNS-plattform.

DNSSEC för din domän genom Excedo DNS

Excedo DNS powered by DYNECT erbjuder DNSSEC som standard i samtliga tjänstepaket utan någon extra kostnad. Det är enda sättet att få en säker domän som inte kan utsättas för attacker där svaren på DNS-uppslagningar förfalskas.

I Excedo DNS plattformen ingår automation när det kommer till generering av ZSK och KSK-nycklar, samt utbyte av ZSK-nycklar. Detta innebär att det inte krävs någon som helst manuellt hantering, vilket eliminerar de risker som finns om nyckelutbytet inte hanteras på rätt sätt.

Excedo kan genom tjänsten Excedo DMS (Domain Management Services) även erbjuda all administration och hantera utbyte av KSK-nycklar, vilket innebär att kunden INTE behöver fundera på DNSSEC-administrationen, Excedo DMS tar hand om detta.

Är du intresserad av att säkra din egen webb- och e-postadress? Om du är osäker på ifall din domän använder DNSSEC, kan du enkelt kontrollera det helt gratis genom att använda Excedo DNS - DNS Check eller kontakta Excedo DNS.