DNSSEC er blevet aktiveret for alle domæner
Udgivet d. 16. februar 2017
DNSSEC øger sikkerheden
DNSSEC (Domain Name System Security Extensions) er en sikkerhedsudvidelse til DNS, hvor alle forespørgsler bliver kryptografisk signeret. Dette sikrer imod falske DNS-svar for dit domæne.Hvordan fungerer DNSSEC?
DNS (Domain Name System) oversætter domænenavne (f.eks. eksempel.dk) til IP-adresser (f.eks. 192.168.1.1). Denne proces er grundlæggende for internettet, men uden DNSSEC er den sårbar over for angreb som "DNS cache poisoning" og "man-in-the-middle"-angreb.
DNSSEC fungerer ved at tilføje digitale signaturer til DNS-data. Disse signaturer:
- Bekræfter at DNS-svarene kommer fra den autoriserede kilde
- Verificerer at data ikke er blevet manipuleret undervejs
- Skaber en "kæde af tillid" fra roddomænet (.dk, .com osv.) ned til dit specifikke domæne
Hvilke sikkerhedsrisici forhindrer DNSSEC?
Uden DNSSEC kan ondsindede f.eks.:
- Omdirigere besøgende fra din hjemmeside til en falsk kopi
- Opfange e-mails, der skulle have været sendt til dig
Hvordan påvirker det dine brugere?
Denne udvidelse er snedigt lavet, således at den er bagudkompatibel og dit domæne fortsat vil virke for brugere, som ikke tjekker DNSSEC. De kan dog ikke være sikre på, at de får korrekte DNS-svar, da de mangler den sikkerhed, som DNSSEC giver.
Brugere som benytter Google Public DNS, Cloudflare DNS osv. er sikret, og i Danmark sikrer TDC/YouSee deres kunder, ved at tjekke for gyldig DNSSEC signering på deres navneservere.
Vi sørger for automatisk at aktivere DNSSEC for alle domæner hos os. Derfor anbefaler vi også, at man placerer sine domæner hos os, således at man automatisk bliver omfattet af denne sikkerhed. Der er dog stadig nogle få domæneendelser, hvor det endnu ikke er understøttet eller umuligt pga. tekniske udfordringer.
Du kan også læse mere om DNSSEC hos DK Hostmaster.
Din sikkerhed er i fokus hos Netsite
DNSSEC er en del af de mange forbedringer, vi løbende laver med fokus på sikkerheden, og hvor vi adskiller os fra de fleste andre hostingudbydere.
Forrige år begyndte vi at DKIM signere alle vores kunders e-mails, samt begyndte at aktivere SPF og DMARC for alle nye oprettelser. Dette er teknikker som alle bygger på DNS, og derfor var det helt oplagt, at DNSSEC ville blive det følgende tiltag.
HTTPS er iøvrigt også tilgængeligt på dit webhotel hos os uden merpris, som sikrer kryptering af trafikken fra og til din hjemmeside. Det bliver ligeledes aktiveret for alle nye oprettelser. Har du endnu ikke skiftet til HTTPS, kan det gøres via Mit Netsite.
Nye navneservere
For at mindske risikoen for afbrydelser, har vi også udvidet fra 2 til 3 navneservere. Dvs. at hele 2 servere kan fejle, uden at det medfører afbrydelse af DNS-forespørgsler. Ligeledes har vi fordelt navneserverne under forskellige domæneendelser, hvilket betyder at hvis det utænkelige skulle ske, at f.eks. alle .dk domæner er ramt af en fejl, så vil din e-mail og hjemmeside fortsat virke, da de 2 resterende navneservere er placeret under henholdsvis .se og .eu.
Vores navneservere hedder således følgende fremover:
- ns1.netsite.dk
- ns2.netsite.se
- ns3.netsite.eu