Domenenavnsystemet blir sikrere

DNSSEC (DNS Security Extensions) er en sikkerhetsmekanisme som legges inn i domenenavnsystemet. Med DNSSEC signeres svarene på et domeneoppslag på en slik måte at det er mulig å kontrollere at de kommer fra riktig kilde og ikke er endret underveis.

logo:DNSSEC Når du slår opp et domenenavn, settes det i gang et søk i domenenavnsystemet etter en IP-adresse, som brukes til å kontakte den maskinen som har den tjenesten du ønsker tilgang til. Det opprinnelige domenenavnsystemet sikrer ikke at svarene du får kommer fra riktig kilde. Det betyr at det er mulig for en angriper å forfalske svar og sende deg til en annen IP-adresse enn den som egentlig er knyttet til domenet. For eksempel kan du bli sendt til et nettsted som ser ut som den nettbutikken du prøvde å gå til, men som ligger på en maskin som kontrolleres av en svindler.

DNSSEC tilbyr en løsning på dette problemet. Når et domene er sikret med DNSSEC, vil alle svar på oppslag bli signert kryptografisk. Dette gjør det mulig å kontrollere både at svaret kommer fra riktig kilde, og at det ikke er endret underveis.

Signaturen lages ved hjelp av en privat nøkkel, som bare den som driver domenenavnet har tilgang til. Signaturen kontrolleres ved at maskinen som slår opp i domenenavnssystemet, henter en offentlig nøkkel for domenet. Deretter kombinerer den nøkkel og signatur for å kontrollere svaret. Takket være hierarkiet i domenenavnsystemet, kan ikke en svindler komme med falske nøkler i tillegg til falske svar. Den offentlige nøkkelen til et domene er en del av en ubrutt kjede av nøkler som går god for hverandre, helt opp til det øverste nivået. For at DNSSEC skal fungere, må alle ledd være sikret med DNSSEC. En kjede er bare så sterk som det svakeste leddet.

DNSSEC løser problemet med falske svar på oppslag. Det er imidlertid viktig å være klar over at DNSSEC er en liten brikke i et stort puslespill av sikkerhetstiltak som skal til for at du og jeg skal være trygge på nettet. DNSSEC sikrer at du kommer til den adressen du vil nå, ikke at innholdet på siden er trygt.

Sist endret 23. november 2017