Säkerhetsprotokollet dnssec ligger som ett lager ovanpå dns-systemet och validerar att trafik verkligen kommer från var den utger sig att komma från. Det gör det mycket svårt att utföra Man-in-the-middle-attacker (MITM). Så varför använder inte alla det? I USA är det bara 23 procent av dns-valideringen som sker med dnssec, medan vi i Sverige ligger mycket bättre till med 83 procent.
Läs också: Nu ska internets centrala nyckel bytas ut – "en stor händelse"
Cloudflare ser som den främsta anledningen till den dåliga anpassningen att många registrarer och andra som hanterar domäner har så usla användargränssnitt att kunderna drar sig ur processen, skriver The Register. Den regionala registraren för Nordamerika, Apnic, anger att hela fyrtio procent som påbörjat processen hoppar av mitt i.
Ett annat problem är att vissa aktörer – Cloudflare riktar en känga mot jätten GoDaddy – har mage att ta betalt för något så självklart som dnssec, menar Cloudflare. Samtidigt tillför inte dnssec omedelbar nytta som man kan ta betalt för mot kunderna, ungefär som med IPv6.
Cloudflare hoppas med sitt initiativ att röra om i grytan. De har tillämpat den officiella RFC:n för dnssec och ger fullt stöd för CDS- och CDNSKEY-poster i barnzonerna så att man slipper logga in och ladda upp en delegation signer-post (DS). Din registrar måste förstås ha stöd för detta, men har den inte det tycker Cloudflare helt sonika att du bör byta, och tala om varför du byter.
Läs också: 6 sunkiga protokoll som sinkar internet
Vidare kommer Cloudflare att publicera CDS- och CDNSKEY-poster för alla domäner som använder deras tjänster så att registrarer kan nå dem enkelt, på ett och samma ställe, vilket bidrar till viss automatik. De kommer dessutom att peka ut alla samarbetsvilliga registrarer som goda exempel.
