En av de viktigaste aspekterna för pålitlighet på internet är att dns, domain name service, fungerar som det ska. Dns är internets "telefonbok" och med andra ord vill du att den ringer upp den sida du avser att besöka och ingen annan sida. Det har dessvärre varit möjligt för för en bedragare att manipulera dns genom att ändra informationen mellan resolver-namnservern och webbläsaren och på sätt flytta besökaren till en annan sida. Dnssec (där -sec står för security extensions) är precis som det låter ett tillägg av dns:en som är tänkt att öka säkerheten.

Nyligen dnssec-signerade webbhotellet Binero alla sina kunders .se-domäner gratis. Antalet signerade svenska domäner ökade därmed från 5000 till över 100 000 och gör att Binero blir näst störst i världen på antal dnssec-signerade adresser. Det innebär också att mer än var tionde .se-domän nu är betydligt säkrare än tidigare.

- Jag ser mycket positivt på detta. Ju fler domäner som är signerade desto större tillit kan vi som användare ha till tjänster på nätet. Säkerhet på internet har många ingredienser, och dnssec är en viktig komponent. Det är något som varje domäninnehavare bör ta med i kalkylen. Nästa gång ni ser över ert dns-system bör ni inkludera dnssec. En sådan översyn bör ske med jämna mellanrum, kanske vartannat år, säger Anne-Marie Eklund Löwinder, kvalitets- och säkerhetschef hos .SE (Stiftelsen för Internetinfrastruktur).

Dnssec ger ökad pålitlighet

Dnssec kan ses som en förlängning av dns genom definierade tillägg av dns resource records (rr) som används av dns-klienter för att validera äktheten i ett dns-svar. Om ett dns-svar ändrats från sitt ursprungliga äkta svar och en inkräktare försöker framställa det manipulerade svaret som ett äkta, ska en dnssec-säkrad klient upptäcka att informationen i svaret har manipulerats. Dnssec är helt enkelt tänkt att fungera som ett skydd mot förfalskad dns-data.

För att uppnå maximal nivå av tillförlitlighet använder dnssec de ovan nämnda dns resource Records genom att en admin för zonen digitalt "signerar" ett resource records set (rrset) och publicerar denna signatur, tillsammans med zonens nyckel, som ett tillägg i den aktuella dns:en.

En klient som säkrats med dnssec kan därefter kontrollera signaturen genom att använda zonens nyckel mot det lokalt uträknade hash-värdet i det aktuella rrsetet. Om alla kontroller godkänns kan användaren känna sig någorlunda trygg med att dns-svaret var äkta och fullständigt. dnssec är ett mycket bra komplement till andra viktiga säkerhetsfunktioner som ssl-certifikat och ddos mitigation.


Anne-Marie Eklund Löwinder

- Dnssec säkerställer innehållet i dns med hjälp av kryptografiska metoder som använder elektroniska signaturer. Dnssec innebär att användaren, när han gör en uppslagning i dns, genom validering av signaturer ska kunna avgöra om informationen som kommer tillbaka som svar kommer från rätt källa och om den har manipulerats på vägen. Det blir alltså svårt att förfalska information i dns som är signerad med dnssec utan att det upptäcks. En detalj är att valideringen av signaturen sker i den namnserver som ligger närmast användaren, oftast den som tillhandahålls av den internetoperatör man är ansluten till. Det saknas alltså fortfarande en bit av kedjan, och det är att applikationer ska bli dnssec-medvetna, säger Anne-Marie Eklund Löwinder

Minskad risk för bedrägerier

För dig som användare innebär dnssec en minskad risk för att bli utsatt för bedrägerier vid till exempel internetaktiviteter som e-handel, bankaffärer, e-post, voip och distribution av programvara, eftersom det blir lättare att fastställa att du verkligen kommunicerar med rätt bank eller butik och inte någon bedragare.
Dnssec möjliggör också användning av dns-system för nya typer av säkra datatransaktioner (exempelvis autentisering av ursprung för e-post) genom att hindra attacker som kan förorsaka att data kommer i fel händer.


Kjetil Jensen, Registry manager på Binero som nyligen dnssec-signerat alla sina kunders .se-domäner.

Kjetil Jensen på Binero anser också att dnssec är viktig som infrastruktur.

- När infrastrukturen väl finns på plats så kan man göra nya roligare saker som inte var möjliga tidigare, t.ex slopa ca-systemet för ssl och istället låta dns-administratören peka ut giltigt självsignerat certifikat för ett namn. Sådana tekniker kan på sikt leda till att en mycket större andel av webbplatser använder ssl som default, vilket leder till ett långt säkrare internet.

Att domäner dnssec-signeras
är dock ingen universallösning för säkerhet på nätet. Dnssec är inte främst tänkt som ett skydd mot så kallat nätfiske, även om det ger ett visst skydd mott detta, utan används i första hand för att säkra dns från missbruk och man-in-the-middle-attacker som cacheförgiftning (cache poisoning).

- Det är viktigt att notera att dnssec inte stoppar alla typer av bedrägerier. Funktionen är endast konstruerad för att förhindra attacker där angriparen manipulerar svar på dns-frågor för att uppnå sitt mål. Fortfarande finns det flera andra säkerhetsbrister och problem på internet som dnssec inte löser, till exempel överbelastningsattacker, så kallad distributed denial of service (ddos). När det gäller såväl nätfiske (phishing, sidor som liknar eller är identiska med originalet för att lura till sig lösenord och personuppgifter) som farmning (pharming, omdirigering av dns-förfrågan till fel dator) och andra liknande attacker mot dns, så ger dnssec ett visst skydd mot detta. Dnssec skyddar inte mot attacker på andra nivåer, som attacker på ip- eller nätnivå, säger Anne-Marie Eklund Löwinder.

Är din domän säkrad med dnssec?
Det är inte längre tillåtet att rösta.