NO / EN

Norid AS

Abels gt. 5, Teknobyen

Telefon +47 73 55 73 55

Domenenavnsystemet er en sentral del av den digitale verdikjeden, og er helt nødvendig for at tjenester på internett skal være tilgjengelige. I denne artikkelen får du en innføring i hva domenenavnsystemet er og hvordan det er organisert.

God infrastruktur og profesjonelle leverandører har skapt en forventning om at tjenester på internett alltid er tilgjengelige. Denne tilgjengeligheten er et resultat av et komplekst samspill mellom mange aktører og systemer – en digital verdikjede. For å kunne bruke en tjeneste på internett, for eksempel nettsiden www.vg.no, må hele verdikjeden som er involvert i leveransen, fungere.

Samfunnsutviklingen preges av stadig sterkere avhengigheter mellom samfunnsfunksjoner. Disse avhengighetene skaper effektivitet og bedre tjenesteleveranser. Samtidig gir avhengigheter ofte sårbarheter ved at feil som oppstår ett sted i en verdikjede, kan forplante seg.

Nasjonal sikkerhetsmyndighet, Risiko 2020

Direktoratet for samfunnssikkerhet og beredskap (DSB) peker på at utviklingen i dagens samfunn har ført til at de digitale verdikjedene er komplekse, lite oversiktlige, tett koplet og i stor grad transnasjonale.1

En feil ett sted i kjeden kan føre til momentan svikt i viktige tjenesteleveranser et helt annet sted. Noen av leddene i kjeden er enkle å erstatte. En bruker kan for eksempel velge mellom å være på et trådløst hjemmenett, et gratis trådløsnett eller på mobilnett for å nå en tjeneste. Andre deler av kjeden er grunnleggende funksjoner i internettinfrastrukturen og kan ikke uten videre erstattes. Bortfall av bare én av disse funksjonene kan gjøre tjenester helt utilgjengelige for sluttbrukeren.

Domenenavnsystemet (DNS) er en slik grunnleggende funksjon som er helt nødvendig for at internettinfrastrukturen skal fungere.2 Denne artikkelen beskriver hvordan DNS bidrar til å gjøre tjenester på internett tilgjengelige for andre, hvordan systemet er bygget opp, og hvilke aktører som er involvert. Den gir også en oversikt over hvordan DNS fungerer for norske domenenavn.

Adressesystemet på internett

For en internettbruker er det tjenestene som kjøres på den tekniske infrastrukturen som gir verdi. De mest kjente tjenestene er nettsider og e-post, men det er også mulig å koble opp video- og telefonsamtaler over nettet, laste ned filer, logge seg inn på ulike databaser, styre varmen i et hus og så videre. Innhold gjøres tilgjengelig på nettet ved at en innholdsleverandør laster det opp på en server som er koblet til internett. Når du besøker en nettside, sendes innholdet på nettsiden fra serveren som innholdet ligger lagret på, til deg via internett.

For å få tilgang til innhold eller andre tjenester på internett, må maskinen din ha adressen til den serveren hvor innholdet er lagret eller tjenesten tilbys. Denne adressen hentes ut ved oppslag i det globale domenenavnsystemet (DNS).

Alle datamaskiner som er koblet til internett, har en IP-adresse som består av en lang tallrekke. Utveksling av trafikk mellom tjenester og klientsystemer over internett er basert på disse adressene. For å forenkle bruken får en tjeneste ett eller flere domenenavn, som brukes både i brukergrensesnitt og i systemkonfigurasjoner. Dette gjør det også mulig å flytte en tjeneste til en ny maskin med en ny IP-adresse uten å måtte fortelle det til dem som bruker tjenesten. Domenenavnsystemet er en tjeneste som kobler domenenavnet sammen med IP-adressen til en tjeneste eller maskin på internett.

Domenenavn gir menneskevennlige adresser – det er enklere å huske radio.nrk.no enn 23.102.50.11

DNS kan også brukes til å formidle teknisk informasjon som trengs for å bruke en tjeneste over internett. Dette kan for eksempel være sertifikatinformasjon eller mekanismer som beskytter e-post på e-post-tjenere, for eksempel SPF, DKIM eller DMARC3.

Organisering av domenenavnsystemet

Et domenenavn er en del av en hierarkisk navnestruktur. En internettadresse er satt sammen av flere ledd, hvor hvert ledd hører til på et nivå i hierarkiet.

Enkel illustrasjon av domenenavnsystemets oppbygging.

Det øverste nivået, DNS-roten, er ikke en synlig del av adressen. Det neste nivået er toppdomenet, som er det siste leddet i en nettadresse. For norske domenenavn er toppdomenet .no.

På nivået under toppdomenene ligger domenenavnet, for eksempel vg.no, nrk.no og facebook.com.

På nivået under finnes underdomenenavn, som for eksempel jd.dep.no som brukes av Justis- og beredskapsdepartementet.

Denne hierarkiske strukturen gjenspeiler også ansvarsforholdene. Egne aktører kan gis ansvar for hvert nivå. For eksempel kan den som har et domenenavn, selv velge å etablere underdomenenavn under det aktuelle domenenavnet. NRK kan med andre ord fritt velge å opprette underdomener under nrk.no, for eksempel tv.nrk.no.

Hvert toppdomene har en registerenhet som etter overenskomst med den internasjonale forvalteren av toppdomener (ICANN) har rett til å tildele, administrere og registrere domenenavn under toppdomenet. For .no er det Norid som er registerenheten.4

Registerenheten fastsetter tildelingsregler for domenenavn under toppdomenet. Et domenenavn etableres når en virksomhet eller privatperson tegner abonnement på domenenavnet, og dermed får rett til å bruke det. Registerenheten tildeler domenenavn og fører et register over hvem som har bruksrett til de ulike domenenavnene.

Registerenheten er også ansvarlig for å forvalte navnetjenesten for toppdomenet. Dette er en del av den tekniske infrastrukturen for domenenavnsystemet, som informerer om hvilke domenenavn som finnes under toppdomenet, og hvilke navnetjenere de er knyttet til. En navnetjener er en datamaskin som er fast knyttet til internett, og som formidler teknisk informasjon for ett eller flere domenenavn. Navnetjenesten er nødvendig for at domenenavnene skal virke rent teknisk, og er dermed en del av den tekniske grunnmuren for hele domenenavnsystemet.

Å slå opp tjenester via domenenavnsystemet

Domenenavnsystemet (DNS) konverterer domenenavn til IP-adresser. Dette er en grunnleggende funksjonalitet som er nødvendig for at internettinfrastrukturen skal fungere. Den hierarkiske oppbyggingen av DNS betyr at hver konvertering forutsetter et samspill mellom flere uavhengige aktører. Navnetjenerne som sørger for stegene i konverteringen, befinner seg på alle nivåene i hierarkiet.

Illustrasjon av DNS-oppslag.

Når du eller en maskin forsøker å kontakte en tjeneste, brukes en stub-resolver (DNS-klient). Dette er enkel programvare i datamaskinen din som tar imot henvendelser fra applikasjoner, for eksempel når du taster inn www.vg.no i nettleseren. Stub-resolveren er konfigurert med IP-adressen til en rekursiv resolver og tar kontakt med denne.

En rekursiv resolver er en navnetjener som spør navnetjenere i hele hierarkiet helt til den finner IP-adressen til domenenavnet som stub-resolveren spør om. Hvis den rekursive resolveren nylig har slått opp dette domenenavnet, vil den ha IP-adressen i minnet (cache) og kan returnere adressen direkte. Hvis ikke sender resolveren henvendelsen til det øverste nivået i hierarkiet, DNS-roten.

Rotnavnetjenerne betjener DNS-roten. De tar imot henvendelser om domenenavn fra rekursive resolvere og returnerer et svar med en liste over navnetjenerne for toppdomenet til domenenavnet. Det finnes 13 navngitte rotnavnetjenere i verden, drevet av til sammen 12 organisasjoner. Bak hver av de 13 navngitte rotnavnetjenerene finnes det flere maskiner som har samme funksjonalitet, og det reelle antallet er nærmere 1550, plassert over hele verden. Listen med toppdomener og tilhørende navnetjenere kommer fra Internet Assigned Numbers Authority (IANA), som er en del av ICANN. Figuren under5 viser en oversikt over antallet rotnavnetjenerne og i hvilke regioner disse er plassert.

Verdenskart med markeringer som viser hvilke regioner  rotnavnetjenerne finnes i, og hvor mange.

Hvis den rekursive resolveren spør etter et domenenavn som slutter på .no, vil rotnavnetjenerne oppgi navnetjenerne for .no. Disse navnetjeneren kalles også for autoritative navnetjenere. Resolveren sender deretter en ny henvendelse til navnetjenerne for toppdomenet og får adressene til de autoritative navnetjenerne for domenenavnet i retur. En henvendelse til disse navnetjenerne returnerer en IP-adresse for tjenesten som du som bruker forsøker å nå. Resolveren leverer IP-adressen til stub-resolveren, og deretter kan applikasjonen kontakte tjenesten. Det er på dette tidspunktet nettleseren din kan kontakte webserveren på for eksempel www.vg.no og spørre etter nettsiden.

De fleste bruker rekursive resolvere hos sin internettleverandør (ISP), men du kan også få tjenesten levert fra en lokal IT-avdeling eller velge offentlig tilgjengelige tilbydere som Google eller andre. Den rekursive resolveren husker oppslag (cache) i en definert periode, og den slipper dermed å gjøre nye oppslag hvis den samme nettsiden blir besøkt flere ganger. Den navnetjeneren som gir informasjon om et domenenavn, bestemmer hvor lang «levetid» et oppslag skal ha før det må hentes på nytt. 

For at nettleseren din skal få IP-adressen til webserveren på www.vg.no, må leveransene fra internettleverandøren (rekursiv resolver), rotnavnetjenesten, Norid (navnetjenesten for «.no») og leverandøren av nettsiden (navnetjenesten for vg.no) spille sammen. Hvis én av disse tjenestene ikke fungerer eller ikke kan nås på grunn av nettproblemer, vil nettleseren ikke få den IP-adressen den trenger for å kunne vise frem nettsiden.

Trafikk via flere autonome systemer

Bruk av tjenester på internett vil som regel medføre at det må sendes trafikk på tvers av nett hos ulike internettleverandører, både for å nå ulike navnetjenere og for å nå selve tjenesten. Dette forutsetter samtrafikk som fungerer mellom de ulike nettene, enten direkte, via et samtrafikkpunkt (NIX), eller ved å utveksle trafikk gjennom en eller flere ISP-er som har påtatt seg å håndtere denne trafikken.

Illustrasjon som viser et forenklet bilde av hva som skjer av oppslag i DNS når du åpner en vilkårlig nettside.

Det er verdt å merke seg at det å vise frem en nettside i seg selv kan medføre en ny rekke DNS-oppslag for at alle elementene på nettsiden skal vises frem korrekt. Avhengig av hvilke servere og tjenester som finnes på siden, kan oppslagene skje mot mange forskjellige domenenavn. Disse kan være plassert under ulike toppdomener, noe som igjen genererer trafikk gjennom flere autonome systemer. I eksempelet med www.vg.no skjer det over 400 ulike DNS-oppslag – mer og mindre kritiske for å vise frem hovedinnholdet – før nettsiden vises i sin helhet.

Navnetjenesten for det norske toppdomenet

Navnetjenesten for det norske toppdomenet inngår i den grunnleggende infrastrukturen for internett i Norge, og det er Norids oppgave å iverksette tilstrekkelige, forebyggende og skadebegrensende tiltak for å sikre leveransen av navnetjenesten for .no.

Viktige tiltak er:

  • geografisk og nettopologisk diversitet i utplassering av navnetjenere
  • diversitet i leverandører av navnetjenere som drives av eksterne på oppdrag fra Norid
  • bruk av anycast6 for å sikre tilgjengelighet også under tjenestenektangrep
Illustrasjon av DNS-oppslag.

Figuren til høyre illustrerer et DNS-oppslag og viser at navnetjenesten for .no bare er én av funksjonene som må være på plass for at du skal kunne nå en tjeneste på internett. Andre aktører har som oppgave å drive rotnavnetjenesten eller navnetjenere for hvert enkelt domenenavn.

Figuren illustrerer også at Norid ikke har som oppgave å drive eller sikre utstyr eller nettilknytning – verken for sluttbrukere eller for dem som tilbyr tjenesten. Norid kan heller ikke drive eller sikre nettverksforbindelsen mellom en sluttbruker og en tjeneste eller for tjenester eller innhold som er tilgjengelig via domenenavn under .no.

Navnetjenerinstanser for .no

Toppdomenet .no har totalt seks navnetjenerinstanser. Tre leveres via anycast og tre via unicast. Tre av instansene betjener i tillegg undersonene til .no.

Anycast er en teknologi som brukes for å gi økt kapasitet, økt robusthet og reduserte responstider for blant annet DNS-oppslag. I en anycast-tjeneste består hver navnetjener av flere like noder som er spredt ut i hele verden. Ved hjelp av rutingsmekanismer i nettet, dirigeres et DNS-oppslag mot en av de nodene som er nærmest brukeren.

En unicast-tjeneste er en enkelt navnetjener med en fast geografisk plassering. Brukere rundt i verden vil kunne oppleve kortere eller lengre svartid avhengig av hvor de selv befinner seg.

Bak Norids tre anycast-instanser befinner det seg et stort antall maskiner spredt over hele verden. Norid har inngått avtale med to ulike leverandører av tjenesten for å sikre diversitet i både leverandører, maskiner, programvare og infrastruktur som brukes for å levere tjenesten.

Norids tre unicast-tjenere er plassert i Norge. Navnetjenesten for .no som helhet overvåkes av Norid.

Norid har valgt å dimensjonere navnetjenesten slik at den i en normalsituasjon bare bruker 1–2 prosent av den tilgjengelige kapasiteten. Trafikken er høyest på anycast-nodene, da disse vil være foretrukne noder for trafikk fra store deler av verden, mens de norske instansene vil være mest brukt av norske brukere. Fordeling og trafikkmønster har vist seg å være relativt likt over tid.

Kvaliteten på svarene fra navnetjenesten

Navnetjenesten for .no formidler teknisk informasjon for alle domenenavnene som Norid har tildelt. Informasjonen hentes fra domenenavnregisteret som Norid driver, og publiseres i form av periodisk genererte sonefiler. Sonefilen for .no inneholder en liste over alle domenenavn som slutter på .no, og lister opp hvilke navnetjenere som hører til hvert enkelt domenenavn. Sonefilen overføres til egne maskiner hos Norid, såkalte publiseringsmaskiner, og disse distribuerer deretter sonefilen til navnetjenerne for .no.

Kilden til informasjonen i sonefilen er mer enn 300 000 abonnenter som har de mer enn 830 000 domenenavnene som er registrert under .no. Hver abonnent bestemmer hvilke navnetjenere og leverandører de vil bruke for sine domenenavn. Informasjonen registreres i Norids register av domeneforhandlere, som er virksomheter som etter avtale med Norid bistår abonnentene med å bestille og følge opp domeneabonnementene. Domeneforhandlerne sender inn søknader til registreringstjenesten og følger opp med meldinger om endringer av abonnementene, for eksempel informasjon om at domenenavnet skal knyttes til nye navnetjenere.

Norid sørger for at registerdata lagres korrekt, i den formen forhandleren har oppgitt, og gjør den tekniske informasjonen i navnetjenesten for .no tilgjengelig. Norid kontrollerer at navnetjenerne for et domene er korrekt satt opp, før en registrering eller en endring behandles i Norids systemer. Det er domeneforhandleren som sørger for å autentisere abonnenten ved alle typer bestillinger, og som må forsikre seg om at tjenestene som kjører på domenenavnet, vil fungere etter eventuelle endringer.

Øvrige deler av verdikjeden

Det er mange aktører og systemer involvert i det å kunne produsere og nå tjenester på internett. Hvis vi ser på internett som et økosystem, omfatter det en rekke elementer i tillegg til den tekniske infrastrukturen, blant annet brukerorganisasjoner, nasjonal og internasjonal regulering og arbeid med standarder og retningslinjer. Figuren under viser elementene som inngår i internett som økosystem.

Illustrasjon: CENTR7
Publisert: 25. november 2022