Veiledning for innføring av DNSSEC

Hva som må gjøres for å komme i gang med DNSSEC varierer sterkt med hvilken rolle man har og hvilken tjeneste man ønsker å sikre.

Jeg har et .no-domene og vil sikre det

Abonnerer man på et .no-domene, og ønsker å sikre dette med DNSSEC, finnes det to varianter.

  1. Navnetjenesten for domenet leveres også av registraren:

    En abonnent behøver bare å kontakte sin registrar og be om å få skrudd på DNSSEC for sitt domene, og registraren skal bistå med de praktiske grep.

  2. Navnetjenesten for domenet håndteres i egen organisasjon, eller av en annen navnetjenerleverandør (ISP):

    Du må først sørge for at domenet er signert, og at den signerte sonefilen er ferdig publisert i DNS.

    Du må så ta ut DS-posten for KSK-nøkkelen og få denne registrert på domenet i Norids database. Denne endringen må gjøres via registraren.

Om det viser seg at registraren ikke tilbyr DNSSEC, kan man flytte domenet til en registrar som gjør det. Hvilke registrarer som tilbyr DNSSEC finner man ved å slå opp i Norids liste over registrarer.

Jeg leverer en annen type tjeneste

Aktører som leverer andre tjenester, som ISPer, registrarer og andre, må typisk gjøre helt andre grep, som kan medfører en del arbeide, for å få DNSSEC på plass i tjenesten.

ISOC har laget noen nyttige ‘Where do I start?’ veiledninger som bekriver hva de forskjellige aktørene bør tenke på.

Sist endret i 2015 eller tidligere