Tipsside for DNSSEC

Domener som er sikret med DNSSEC kan skape ekstra utfordringer. Her presenteres noen praktiske tips som kan hjelpe til ved håndteringen av slike domener.



Hva menes med en ‘DNSSEC enabled‘ registrar?

Det er bare registrarer som har registrert seg som å være DNSSEC-kapable hos Norid som får lov til å håndtere DNSSEC-data. Dette gjøres i praksis ved at Norid aktiverer en ‘DNSSEC enabled‘ parameter på registrarens konto på registrarweben.

Registrarer må kontakte Norid per e-post for å bli ‘DNSSEC enabled‘.

En abonnent må benytte seg av en slik ‘DNSSEC enabled‘ registrar for å sikre domenet sitt.

Hvilke registrarer som er ‘DNSSEC enabled‘ publiseres i vår oversikt over registrarer. Her kan man filtrere og se hvem som håndterer DNSSEC.

Hvordan kan man sjekke om et domene er sikret?

Alle registrarer kan sjekke om et domene er sikret, uavhengig av om man er ‘DNSSEC enabled‘ eller ikke. Dette kan gjøres på flere måter:

  • Ved å slå opp domenet i Whois.

  • Ved å utføre en EPP-domain-info (her kan man eventuelt benytte Norids EPP-klient dersom egen EPP-programvare ikke støtter DNSSEC-data).

DNSSEC-data skal vises dersom domenet er sikret.

I tillegg skal DNSSEC-data kunne slås opp i DNS.

Hva bør man tenke på ved bytte til en annen registrar?

Et bytte gjøres i praksis med en EPP-transfer-operasjon.

Dersom domenet skal forbli sikret etter et registrarbytte, må alle DNSSEC-data bli med over til den nye registraren i forbindelse med transfer-operasjonen. For at det skal skje, må den nye registraren være ‘DNSSEC enabled‘.

Dersom den nye registraren ikke er ‘DNSSEC enabled‘, vil alle DNSSEC-data bli fjernet i forbindelse med transfer-operasjonen, og domenet blir dermed avsikret. Det kan være helt greit å gjøre dette, men registraren må være klar over at dette vil skje, og kryssjekke med abonnenten at det er akseptabelt at domenet blir avsikret, slik at det ikke skjer med et uhell. Dersom abonnenten ønsker å beholde sikringen, bør han bli anbefalt å finne seg en annen registrar som er ‘DNSSEC enabled‘ i stedet.

Hva om min EPP-programvare ikke støtter DNSSEC-data?

Dersom en registrar har egen EPP-programvare, og denne ikke støtter DNSSEC, må man passe spesielt godt på. Man vil sannsynligvis heller ikke være en ‘DNSSEC enabled‘ registrar i slike tilfeller.

Det man da må være klar over, er at et domene kan være sikret selv om egen EPP-programvare ikke viser DNSSEC-data. Det betyr dermed at man kan bli ‘lurt’ til å tro at det ikke finnes DNSSEC-data på domenet. Dette kan være problematisk i noen tilfeller, og spesielt ved registrarbytte fordi alle DNSSEC-data vil bli fjernet i forbindelse med transfer-operasjonen.

DERFOR: Er man i tvil, sjekk med et Whoisoppslag om DNSSEC-data finnes på domenet, og advar abonnent om at avsikring kommer til å skje dersom du skal være registrar. Dersom abonnenten ønsker å beholde sikringen, bør han bli anbefalt å finne seg en annen registrar som er ‘DNSSEC enabled’ i stedet.

Det har oppstått en feil hos en navnetjenerleverandør slik at DNSSEC-sikringen ikke kan opprettholdes, hva gjør man?

Et problem har oppstått hos den aktøren som er ansvarlig for å vedlikeholde DNSSEC-data for et domene, og det er ikke mulig for aktøren å rette feilen i sin navnetjenerstruktur tidsnok før domenet slutter å virke (validere) i DNS. Aktøren er den som drifter selve navnetjenesten, og kan være abonnenten selv, registraren eller en ISP.

Et eksempel på et slikt problem kan være at egen signeringsprogramvare har sluttet å kjøre, slik at signaturene for domenet ikke lenger friskes opp regelmessig. En DNSSEC-signatur har en levetid før den blir ugyldig. Dersom levetiden passeres, vil en validerende resolver anse domenet som ugyldig fordi det ikke lenger validerer, og dermed svare at domenet ikke lenger finnes. Effekten for en sluttbruker er at tjenestene som ligger på domenet vil slutte å virke.

I slike tilfeller anbefales det å avsikre alle domener som er rammet før de slutter å virke i DNS. Årsaken til at dette anbefales er at det som regel er viktigere at tjenestene på domenet fortsetter å fungere enn at domenet står usikkert i en kort tidsperiode. Hva som gjelder i hvert tilfelle må vurderes av registraren, eventuelt i samråd med abonnenten.

Avsikring gjøres ved å utføre en EPP-domain-update og fjerne alle DS-poster fra domenet.

For å hjelpe til med rask avsikring, har Norids EPP-klient en spesiell bulk-funksjon hvor man kan fjerne alle DS-poster fra en liste av domener.

MERK: Etter at avsikringen er utført over EPP-grensesnittet, vil det ta noen timer før endringen er publisert ut i alle navnetjenere, derfor er det viktig å utføre endringen i tide.

Når aktøren har løst problemet, kan domenet sikres på nytt. Sikring gjøres i praksis ved å utføre en EPP-domain-update og legge til DS-poster på domenet.

Sist endret i 2015 eller tidligere