Spørsmål og svar

Tilbake
Stikkord:  

Støtter dere DNSSEC?
Ja, vi støtter DNSSEC for de fleste domener der dette er tilgjengelig, bl.a. .no, .com, .se og .dk. DNSSEC er dessverre ikke tilgjengelig for .as-domener.

DNSSEC er en standard som er utviklet for å gjøre domenenavnoppslag sikrere og mer robuste mot angrep. DNSSEC beskytter mot en rekke kjente svakheter i DNS-protokollen, bl.a. "DNS spoofing" eller "cache poisoning". For mer informasjon om hva DNSSEC er, hvordan det fungerer, og hvorfor det er en god idé å ha det påskrudd for sine domenenavn, se f.eks. Wikipedia eller Norids informasjonsvideo om DNSSEC.

Dersom du benytter Domeneshops navnetjenere, så er oppsett av DNSSEC helautomatisert. Alt du trenger å gjøre er å krysse av i kontrollpanelet at du ønsker DNSSEC påskrudd. Hvis du derimot bruker egne navnetjenere, må du selv håndtere nøkkelgenerering, nøkkelrullering og sonesignering, og oppdatere DNSSEC-data manuelt via kontrollpanelet hver gang du bytter nøkler.

DNSSEC er påskrudd som standard for alle domener som bruker Domeneshops navnetjenere. For å skru av/på DNSSEC manuelt for et domene, gjør følgende:

  1. Logg inn under "Min konto" på www.domeneshop.no/login
  2. Klikk på "Mine domener"
  3. Klikk på det aktuelle domenet
  4. Klikk på fanen "Navnetjenere" på toppen av siden
  5. Kryss av (eller fjern krysset) i sjekkboksen "Bruk DNSSEC"
  6. Klikk på "Endre"-knappen

For å kunne utnytte fordelene med den ekstra sikkerheten som DNSSEC gir på din egen datamaskin, må du konfigurere den til å bruke et sett med navnetjenere som utfører DNSSEC-validering. Foreløpig er det ikke alle norske Internett aksess-leverandører som har skrudd på DNSSEC-validering på sine navnetjenere. Du kan sjekke selv om du har DNSSEC påskrudd eller ikke ved å gå inn på:

Dersom du ikke klarer å koble til denne siden, så er DNSSEC-validering korrekt påskrudd for din datamaskin. Dersom du klarer å koble til denne siden, så er DNSSEC enten avskrudd eller feilkonfigurert, og du bør kontakte din Internett aksessleverandør og be dem skru på DNSSEC-validering. Alternativt kan du bruke navnetjenerne til Cloudflare (1.1.1.1) eller Google (8.8.8.8) i stedet, som begge utfører korrekt DNSSEC-validering.

For å unngå nedetid på et domene i forbindelse med endring av navnetjenere, anbefaler vi at man skrur av DNSSEC minst 24 timer før man endrer navnetjenere, og venter minst 24 timer etter at navnetjenerne er endret før man eventuelt skrur på DNSSEC igjen. Da unngår man at klienter som har cachet de gamle DS-postene for domenet ikke klarer å validere DNSSEC-signaturene, dersom de nye navnetjenerne bruker andre DNSSEC-nøkler enn de gamle.

For å debugge eventuelle DNSSEC-problemer eller bare sjekke at navnetjenerne for et domene er korrekt konfigurert, kan vi anbefale følgende verktøy:

For de teknisk interesserte kan vi opplyse om at Domeneshop signerer alle DNSSEC-soner ved hjelp av algoritme 13 (ECDSA P-256) eller 15 (Ed25519) med NSEC3. Signaturene har en levetid på 30 dager, og nøklene rulleres hver 3. måned (ZSK) og 12. måned (KSK). Det er ikke mulig å spesifisere individuelle parametere eller algoritmer når man benytter DNSSEC på Domeneshops navnetjenere.

Se også:

© 2024 Domeneshop AS · Om oss · Vilkår · Personvern