NO / EN

Norid AS

Abels gt. 5, Teknobyen

Telefon +47 73 55 73 55

Publisert desember 2016, siste versjon juli 2020
Internett blir en stadig mer kritisk del av samfunnets infrastruktur, og det blir viktigere og viktigere å sikre at informasjon ikke forfalskes eller havner hos feil mottaker. DNSSEC er et viktig bidrag til sikrere kommunikasjon på nettet.

Hvorfor er DNSSEC viktig?

I dagens samfunn er internett en viktig plattform for verdiskaping. Totalt ble det omsatt for over 25 milliarder kroner via nettbutikker i 2019 1. Tre prosent av alle norske domenenavn som har en nettside, har en handlekurvfunksjon knyttet til siden 2, og for mange bedrifter er nettet den primære salgskanalen. Internett er også primær kanal for kommunikasjon mellom det offentlige og innbyggere og bedrifter, for eksempel for å rapportere inn selvangivelse og arbeidsgiveravgift og for tilgang til offentlige tjenester. I alle disse tilfellene er det svært viktig at brukerne faktisk kommer til den nettsiden de mente å nå.

Domenenavn og toppdomener

Alle datamaskiner på internett har en egen IP-adresse, som består av en lang tallrekke. Domenenavnsystemet knytter IP-adresser til unike domenenavn.

Eksempler på domenenavn mange bruker daglig: dagbladet.no, vg.no, google.com og facebook.com.

Det siste leddet i domenenavnet – «etternavnet» – er toppdomenet som domenenavnet er registrert under. Det finnes to ulike typer, landkodetoppdomener (som .no eller .se) og generiske toppdomener (som .com, .org eller .shop).

Du kan hente opp en nettside på ulike måter: Gjennom å klikke på en lenke, fra en app, via treff fra en søkemotor eller ved å taste inn adressen i en nettleser. I alle disse tilfellene slår du opp et domenenavn. Oppslaget setter i gang et søk etter en IP-adresse som brukes til å kontakte den maskinen som driver den tjenesten du ønsker tilgang til. Opprinnelig var ikke domenenavnsystemet laget slik at det sikret at svaret på et oppslag faktisk kom fra riktig kilde. Det betyr at det er mulig for en angriper å forfalske svar og sende en bruker til en annen IP-adresse enn den som egentlig er knyttet til domenenavnet. For eksempel kan en bruker bli sendt til en nettside som ser ut som den nettbutikken hen mente å gå til, men som er et nettsted som ligger på en maskin som kontrolleres av en svindler.

Hva skjer bak kulissene når du slår opp et domenenavn?

12345rot.noResolverwww.bokogbrus.no158.38.212.101www.bokogbrus.no

Hvert domenenavn har et sett med maskiner som besvarer spørsmål om adresser under domenenavnet. Disse maskinene kalles navnetjenere. Eksempel: Du skriver adressen www.bokogbrus.no i adressefeltet i nettleseren din.

  1. En liten programsnutt i datamaskinen din tar kontakt med en egen datamaskin som er satt opp for å behandle oppslag i domenenavnsystemet, en såkalt rekursiv resolver (drives ofte av internettleverandøren).
  2. Den rekursive resolveren får i oppdrag å finne IP-adressen til www.bokogbrus.no. Den sender spørsmålet videre til en av navnetjenerne for det øverste nivået i domenenavnsystemet, den såkalte roten. Rotnavnetjenerne kjenner bare til nivået under seg i hierarkiet, og sender derfor tilbake en liste over navnetjenerne for toppdomenet .no.
  3. Resolveren sender spørsmålet på nytt til en av navnetjenerne for .no. Disse kjenner også bare til nivået under seg, og sender tilbake en liste over navnetjenerne for bokogbrus.no.
  4. Resolveren gjentar spørsmålet til en av navnetjenerne for bokogbrus.no, som svarer tilbake med IP-adressen for www.bokogbrus.no.
  5. Resolveren sender IP-adressen til din datamaskin. Når nettleseren får adressen, kan den ta kontakt med webtjeneren som befinner seg på adressen og laste ned de nettsidene du har bedt om.

Resolveren aksepterer i utgangspunktet det første svaret den får, uten å sjekke at det kommer fra riktig kilde. DNSSEC (DNS Security Extensions) er en sikkerhetsmekanisme som tilbyr en løsning på dette problemet. Når et domenenavn er sikret med DNSSEC, vil alle svar på domeneoppslag være signert kryptografisk. Dette gjør det mulig å kontrollere både at svaret kommer fra riktig kilde og at det ikke er endret underveis.

Signaturen lages ved hjelp av en privat nøkkel som bare den som driver domenenavnet har tilgang til. Signaturen kontrolleres ved at maskinen som slår opp i domenenavnsystemet, henter en offentlig nøkkel for domenenavnet. Deretter kombinerer den nøkkel og signatur for å kontrollere svaret. Takket være hierarkiet i domenenavnsystemet kan ikke en svindler komme med falske nøkler i tillegg til falske svar. Den offentlige nøkkelen til et domenenavn er en del av en ubrutt kjede av nøkler som går god for hverandre, helt opp til det øverste nivået. For at DNSSEC skal fungere, må alle ledd være sikret med DNSSEC. En kjede er som kjent bare så sterk som det svakeste leddet.

DNSSEC løser problemet med falske svar på oppslag. Det er imidlertid viktig å være klar over at DNSSEC er en liten brikke i et stort puslespill av sikkerhetstiltak som skal til for at vi skal være trygge på nettet. DNSSEC sikrer at vi kommer til den adressen vi vil nå, ikke at innholdet på siden er trygt.

Norge i verdenstoppen med å sikre domenenavnsystemet

Norid ser på DNSSEC som en viktig sikkerhetskomponent i domenenavnsystemet og mener teknologien bør være en standardleveranse for norske domenenavn. En slik tilnærming krever at teknologien er moden slik at det finnes utbredt støtte for den. Norid har valgt å introdusere DNSSEC som en infrastrukturoppgradering. Det er ikke noen forutsetning at en domeneabonnent verken kjenner til teknologien eller aktivt bestiller den for å få denne sikkerhetsoppgraderingen for sitt domenenavn.

Noen viktige DNSSEC-milepæler

2007: .se er det første toppdomenet i verden som åpner for å ta i bruk DNSSEC til å sikre sine domenenavn. Fordi det øverste nivået i domenenavnsystemet ikke er sikret, må .se lage en midlertidig løsning for å kompensere for dette.

2010: Det øverste nivået i domenenavnsystemet sikres med DNSSEC.

2014: Støtte for teknologien er utbredt i de mest brukte programvarene for oppslag i domenenavnsystemet. DNSSEC tas i bruk for norske domenenavn.

Til tross for at teknologien er avansert og at det er lite slingringsmonn for feil, kom mange av forhandlerne for norske domenenavn kjapt på banen. I mai 2015, et halvt år etter at Norid introduserte teknologien, var det norske toppdomenet i verdenstoppen i andelen sikrede domenenavn, og der har vi ligget siden 3. Per 16. juni 2020 er 480 151 norske domenenavn signert med DNSSEC, noe som utgjør 60,7 prosent av alle domenenavn under .no 4 . Tre andre europeiske landkodetoppdomener utmerker seg med en høy andel signerte domenenavn: Tsjekkia (.cz) med 59,6 prosent 5, Nederland (.nl) med 55,5 prosent 6 og Sverige (.se) med 49,4 prosent 7

Norske domenenavn som er sikret med DNSSEC

År Antall sikrede domenenavn
2014 28634
2015 383046
2016 416518
2017 433527
2018 443277
2019 462072
2020 479359
Sist oppdatert 9. juni 2020
Utvikling av antall norske domener som er sikret med DNSSEC (kilde: Norid)

Selv om .no har en svært høy andel sikrede domenenavn totalt, er det store forskjeller på graden av sikring hos de ulike domeneforhandlerne. Per juni 2020 tilbyr 118 av i alt 335 forhandlere som selger norske domenenavn, sikring med DNSSEC 8. Bare 23 av disse har signert mer enn 30 prosent av domeneporteføljen, og hele 97,7 prosent av alle signerte domenenavn sorterer dermed under ti forhandlere 9.

Fordeling av signerte domenenavn på forhandlerne

Forhandler Prosent
Domeneshop AS 65.54
One.com A/S 12.84
Uniweb.no AS 6.96
Digital Garden AS 5.41
Syse AS 3.85
Telenor Norge AS 1.84
Globalconnect AS 0.5
Domenia Norge AS 0.33
ISPHuset Nordic AS 0.27
Active Data Norge avd Ssynnes 0.18
Andre 2.29
Sist oppdatert 9. november 2020
Kilde: Norid

Viktige domenenavn fortsatt ikke signert

Når mer enn halvparten av alle norske domenenavn er sikret med DNSSEC, viser det at teknologien har blitt en del av standardleveransen her i landet. Likevel er bare tre av de ti mest brukte norske domenennavnene signert 10.

De ti mest brukte norske domenenavnene
1. vg.no ikke signert
2. finn.no ikke signert
3. nrk.no signert
4. feide.no ikke signert
5. google.no ikke signert
6. dagbladet.no ikke signert
7. tv2.no ikke signert
8. difi.no signert
9. yr.no signert
10. komplett.no ikke signert
Sist oppdatert 9. november 2020
Kilde: alexa.com, Norid

DNSSEC er en anbefalt standard for domenenavn som er registrert av offentlige virksomheter i Norge 11. Vi ser imidlertid at det offentlige henger etter, selv om signeringsgraden for domenenavn som er registrert av offentlige virksomheter har økt de siste årene, fra 47,3 prosent i september 2018 til 52,4 prosent i juni 2020 12. Det er alvorlig at de statlige kategoridomenene (stat.no og dep.no) og kategoridomenet til Forsvaret (mil.no) ikke har tatt den nye teknologien i bruk. Det betyr at domenenavn som sorterer under et av disse kategoridomenene, for eksempel nsm.stat.no, ikke kan velge økt sikkerhet med DNSSEC fordi et av leddene i kjeden over dem ikke er sikret.

Langt fremme også på validering

Den høye andelen DNSSEC-sikrede norske domenenavn betyr at det er svært mange domeneoppslag som resulterer i signerte svar. For at dette skal sikre den enkelte bruker, må imidlertid maskinen som henter svaret på domeneoppslaget, sjekke (validere) svaret slik at svar med falske eller mangelfulle signaturer forkastes. Dette gjøres av spesielle maskiner – rekursive resolvere – som ofte drives av internettleverandører, hostingleverandører og tjenesteansvarlige i bedriftsinterne nett. For å kunne utnytte potensialet i DNSSEC, må dermed så mange som mulig av disse sikre sine brukere ved å slå på validering.

Graden av validering i Norge har økt sterkt etter at DNSSEC ble lansert for norske domenenavn i 2014. Per 16. juni 2020 valideres om lag 83 prosent av domeneoppslagene i Norge, noe som også på verdensbasis er høyt 13.

DNSSEC valideringsgrad per land i prosent

0-10 11-20 21-30 31-40 41-50 51-60 61-70 71-80 81-90 91-100
Land Prosent
SA 97.77
TC 96.96
DJ 96.69
SL 96.39
KI 96.35
GG 95.13
FO 94.67
BT 94.57
AI 93.59
IS 93.39
FM 93.31
AD 93.1
GI 92.8
FI 92.65
GL 92.18
AP 91.67
PW 89.88
IO 89.86
MH 89.33
NR 88.52
NZ 87.06
SE 86.85
PF 85.44
SO 85.41
NO 82.92
EU 80.65
YE 78.81
LU 78.04
DK 77.66
TV 74.39
BS 72.91
LI 72.14
IQ 71.56
CZ 71.21
BQ 68.97
DM 65.5
AZ 65.35
SC 63.88
CH 62.66
SG 62.57
MF 61.07
PT 60.82
MN 60.7
AM 59.52
EE 59.39
HT 57.78
KM 57.5
PS 56.85
ER 56.45
MP 56.35
PG 56.07
DE 56.03
NE 55.96
AF 55.81
CF 55.52
UG 55.43
UZ 55.21
KH 54.94
ZA 54.81
VG 54.71
LV 54.64
IN 54.35
BR 53.87
PR 51.55
GE 51.38
TM 51.22
HK 50.94
NL 50.67
NC 49.65
GQ 47.87
SI 47.58
TO 47.21
IL 46.98
AL 44.93
MW 44.54
CV 43.42
EG 42.82
GU 41.77
BE 41.74
KN 41.14
RW 40.81
JE 40.49
TD 40.2
HN 40.13
PL 40.06
FJ 39.99
KZ 39.07
BB 38.58
MV 37.57
PM 36.98
UA 36.67
BM 36.41
BD 35.94
ZW 35.83
LR 35.43
FR 34.59
GH 34.07
LT 34.05
AO 32.98
MM 32.97
VU 31.69
VA 31.53
KY 30.73
CR 30.69
CI 30.58
LY 30.27
US 30.07
JM 29.71
TG 27.98
RS 27.3
BJ 27.26
AU 27.15
SY 27.05
TJ 27.03
TR 26.82
BG 26.64
MK 26.12
EC 25.99
SS 25.76
IE 25.73
CY 25.5
BA 25.41
VE 25.24
AS 24.97
TZ 24.67
PY 24.61
NP 23.19
BH 23.18
MR 22.86
IM 22.57
GM 22.27
KE 22
BN 21.41
HR 21.14
DO 20.76
SX 20.68
CW 20.42
BZ 20.37
BF 20.25
MZ 20.2
AR 20.13
BY 20.11
MY 19.95
PK 19.81
AT 18.82
RU 18.47
CD 17.71
CG 17.44
SR 17
CO 16.96
BI 16.58
RE 16.4
YT 16.32
PH 15.8
LB 15.43
VN 15.39
PA 15.16
LC 15.1
GR 15.02
SK 15.02
VI 15.01
CA 14.89
SB 13.97
AG 13.69
MD 12.83
GF 12.78
GP 12.01
DZ 11.95
IR 11.9
GT 11.78
AX 11.72
AW 11.47
NA 11.2
JP 11.08
IT 11.01
ID 10.92
ES 10.75
LA 10.28
LS 9.79
GB 9.3
GY 9.3
BO 9.18
MG 9.1
HU 9
NI 8.57
ET 8.3
BW 8.21
WS 8.17
CK 7.93
AE 7.85
SZ 7.36
TL 6.95
SV 6.94
ST 6.82
PE 6.59
MX 6.51
BL 6.49
MC 6.33
GD 6.13
CL 6.04
MO 5.86
TN 5.79
MA 5.53
SM 5.49
KG 5.46
TW 5.27
MU 5.15
WF 5.13
ML 5.06
RO 4.92
NG 4.58
FK 4.52
ME 4.36
EH 4.35
GA 3.9
MT 3.86
KR 3.55
TH 3.43
TT 3.42
SD 3.02
CM 2.92
KW 2.78
QA 2.73
ZM 2.6
JO 2.59
OM 2.57
VC 2.55
SN 2.35
LK 2.29
UY 2.25
GN 1.96
CU 1.33
GW 1.3
MQ 1.14
CN 1.08
AQ 0
CC 0
CX 0
KP 0
MS 0
NF 0
NU 0
SH 0
SJ 0
TK 0
Sist oppdatert 16. juni 2020
Kilde: apnic.net

Den høye valideringsgraden i Norge skyldes blant annet at store aktører som Telenor Norge, Altibox og Get, som til sammen dekker en relativt stor kundemasse, har slått på validering. Det er imidlertid fortsatt enkelte store internettleverandører, som GlobalConnect, som ikke validerer domeneoppslagene. 14

Korrekte DNS-oppslag er en viktig del av den digitale grunnmuren og en forutsetning for sikkerheten i IKT-tjenester. Flere trusselaktører utnytter det faktum at DNS-systemet ble laget i en tid hvor kommunikasjonsprotokoller var preget av tillit alene. Konsekvensen av dette kan være at brukere og systemer ledes til ondsinnede nettadresser og utsettes for nettkriminalitet. DNSSEC tetter dette gapet ved å bygge inn mekanismer som sikrer validitet i DNS-oppslagene med moderne krypterings- og tillitstjenester. Det er veldig gledelig at .no leder an og ligger helt i verdenstoppen for innføring av DNSSEC. Nasjonal kommunikasjonsmyndighet støtter alle tiltak som løfter frem viktigheten av signering og validering av kommunikasjon på internett.

Elise Knutssøn Lindeberg, avdelingsdirektør i Nasjonal kommunikasjonsmyndighet

DNSSEC i fremtiden – hva kan bygges på en sikker infrastruktur?

Den direkte effekten av DNSSEC er å sikre brukerne mot at domenenavnsystemet gir falske svar, men et sikkert domenenavnsystem fungerer også som en grunnmur som det kan bygges helt ny sikkerhetsfunksjonalitet på.

Vi er vant med at vi kan bruke e-post trygt, også på flyplasser, nettkaféer og i gjestenett, fordi maskinene våre utveksler data med e-posttjeneren over en sikker, kryptert forbindelse som ingen mellommenn kan lytte på eller endre. På samme måte ser vi etter den grønne hengelåsen og HTTPS før vi overfører data som kredittkortnummer, brukernavn og passord til en nettside vi besøker.

For at disse oppkoblingene skal være sikre, må maskinen vår autentisere at den snakker med riktig tjeneste og utveksle den nødvendige kryptografiske informasjonen. Autentiseringen skjer stort sett ved bruk av sertifikater som er godkjent av autoriserte sertifikatutstedere. Problemet er at det er svært mange autoriserte sertifikatutstedere, og at de tilbyr varierende sikkerhetsnivå. Samtidig har det manglet gode mekanismer for å fortelle brukerne hvilken utsteder som har lov til å lage sertifikater for en gitt tjeneste, eller hvilket sertifikat eller hvilken nøkkel den aktuelle tjenesten bruker. Google er en av aktørene som har opplevd problemer med dette. Det har vært flere tilfeller der det har blitt utstedt sertifikater for enkelte av Googles domenenavn som ikke har vært godkjent av Google 15. Slike uautoriserte sertifikater gjør det mulig for noen å kapre eller avlytte trafikk til tjenesten.

Domenenavnsystemet tilbyr en mulig løsning på dette. Systemets hovedoppgave er å besvare hvilke IP-adresser en tjeneste under et domenenavn har, men systemet kan også gi enkelte typer tilleggsinformasjon, som for eksempel hvilken sertifikatutsteder som har lov til å gi ut sertifikater for en tjeneste 16. Sikring med DNSSEC gjør at brukerens maskin kan stole på denne informasjonen istedenfor å måtte godta alle autoriserte sertifikatutstedere.

Denne muligheten er særlig aktuell i Norge, siden vi både ligger langt fremme når det gjelder utbredelse av DNSSEC, og at internett i stor grad brukes til tjenester som er viktige for samfunnet. Det offentlige har et stort antall nettbaserte tjenester for kommunikasjon med innbyggerne. I oktober 2018 var det 33 prosent 17 av disse nettstedene som brukte HTTPS. Nasjonal sikkerhetsmyndighet anbefaler at alle offentlige nettsteder sikres på denne måten, og at det brukes sertifikater fra utstedere som er underlagt norsk lov 18. Behovet for at offentlige nettsteder på en sikker måte kan kommunisere hvilke sertifikatutstedere de bruker, er dermed i høyeste grad til stede.

E-post er en annen tjeneste som har begynt å ta i bruk informasjon fra domenenavnsystemet for å øke sikkerheten. E-posttjenere som bruker sertifikater for å hindre avlytting av kommunikasjonen, har behov for informasjon om hvilke sertifikater som er i bruk for et domenenavn. I tillegg kan domenenavnsystemet brukes til å formidle hvilke IP-adresser som er autorisert til å sende e-post fra et gitt domenenavn og hvordan slik e-post skal kontrolleres, noe som gjør det enklere for en mottaker å identifisere og forkaste e-post med forfalsket avsenderadresse 19.

I fremtiden kan distribusjon av sikker informasjon om tjenester via domenenavnsystemet åpne for ytterligere sikkerhetsfunksjonalitet både for eksisterende og nye tjenester.

Fra teori til praksis – noen verktøy for å sjekke egen DNSSEC-sikring

Sjekk om et norsk domenenavn er sikret med DNSSEC.
Skriv inn domenenavnet og se om det er DNSSEC-sikret, eller skriv inn et organisasjonsnummer for å få oversikt over DNSSEC-status for alle virksomhetens domenenavn.

Finn en domeneforhandler som kan sikre dine domenenavn med DNSSEC.
Velg at bare forhandlere som tilbyr DNSSEC skal vises.

Sjekk om dine domeneoppslag valideres.

Kilder