DNSSEC – därför bör er verksamhet prioritera det

DNSSEC är inget nytt på världskartan men ändå är det många som inte har tagit tag i det och infört det på sina domännamn. Ibland säkert på grund av att tiden inte räcker till men vi tror också att det finns en kunskapströskel.

Vi har frågat vår Support om vad DNSSEC är och vikten av att använda det.

Vad är DNSSEC och vad skyddar det mot?
DNSSEC är ett viktigt system för att, med hjälp av kryptografisk signering, säkerställa autenticiteten och därmed trovärdigheten i DNS. DNSSEC skyddar mot en rad risker och sårbarheter, däribland DNS-cache-förgiftning.

Många sårbarheter i DNS som upptäckts under årens lopp, t.ex. DNS-cache-förgiftningar, har avhjälpts någorlunda genom justeringar och extra kontroller i DNS-protokollet. Men då dessa justeringar inte var menade att finnas i DNS så är dessa åtgärder bräckliga och långt ifrån så säkra som man skulle önska. Det enda som löser dessa problem en gång för alla är DNSSEC. Det är tyvärr svårt att peka på direkta sårbarheter som vore helt öppna om det inte vore för DNSSEC, eftersom de sårbarheter som upptäckts över årens lopp är, tack vare liknande justeringar och extra kontroller, svårare att utnyttja av illasinnade aktörer. Men alla dessa åtgärder är egentligen i grunden otillräckliga, och enbart DNSSEC kan idag erbjuda en helt pålitlig och komplett lösning.

Skyddar DNSSEC andra system?
DNSSEC ger ett grundläggande skydd för DNS som gör att alla andra system som använder DNS (vilket inkluderar webbsidor, e-post, och så gott som allting annat på internet) kan ha ett fullkomlig förtroende att DNS-uppgifterna som de får är korrekta och inte kan ha förfalskats på något vis.

Vi känner till att vissa standarder kräver DNSSEC för att fungera, vill du ge ett exempel?
Vissa nya standarder använder också DNSSEC som byggsten för sin säkerhet. Ett exempel på detta är DANE, som är en standard för att med 100% säkerhet kunna veta att e-post från avsändaren verkligen går till mottagarens server för inkommande e-post och inte till någon som falskeligen försöker utge sig att vara mottagaren. DANE använder DNSSEC som en grundläggande bas för att kunna fungera.

Hur kan NMU hjälpa någon som behöver hjälp med DNSSEC?
Om man använder NMU som registrar men har sina egna DNS-servrar så får man stå för DNSSEC själv, och när (och om) man roterar sina DNSSEC-nycklar så får man antingen göra detta via vårt API eller, om toppdomänen tillåter det (t.ex. .se och .nu), CDS/CDNSKEY-poster. Man får också vara medveten om att vissa toppdomäner kräver DNSKEY-poster, och inte accepterar DS-poster. Eller så skickar man in de nya nycklarna till oss på kundtjänsten hos NMU, så lägger vi in dem.)

Om man även har DNS-servrar hos NMU så tar naturligtvis vi på NMU hand om allt, och vi lägger till DNSSEC på alla domäner där det går att göras med automatik. Detta är eftersom vi anser att DNSSEC numera är en självklarhet såsom varandes god säkerhetshygien.

Slutsats
DNSSEC är i dag nästan ett måste, särskilt om man vill upprätthålla en god säkerhet. Oavsett om ni inte har tid eller står inför en kunskapströskel så tycker inte vi att det ska hindra er från att börja använda DNSSEC. Vi har lång erfarenhet av att hjälpa kunder med att införa DNSSEC. Behöver ni hjälp? Ta kontakt med någon av våra kollegor nedan för att få hjälp att komma i gång med DNSSEC.