Aðalsíða
15.12.2016

DNSSEC er nýr grundvöllur öryggis á netinu

Rúmlega þrjú ár eru síðan ISNIC signaði (e. signed) .is-höfuðlénið með DNSSEC, en það var gert 8. október 2013. Síðan þá hefur rétthöfum .is léna staðið til boða að láta signa sín lén í DNSSEC hjá hýsingaraðilum og tryggja þannig enn betur öryggi netþjónustu sinnar.

DNSSEC (DNS öryggi) er viðbót við DNS kerfið, sem ætlað er að tryggja að svör frá nafnaþjónum lénsins komi sannanlega frá réttum nafnaþjónum. Upprunalega DNS kerfið var ekki skrifað með slíkt öryggi í huga og var ætlað og fyrir Internet sem var margfalt minna og hættuminna en nú.

Eftir því sem netið hefur stækkað og eflst hafa sífellt fleiri mikilvægar þjónustur verið færðar á netið, eins og t.d. heimabankar. Þá hafa öryggisholurnar í upprunalega DNS kerfinu orðið stærri og sýnilegri og áhættan á innbrotum meiri. Lén sem ekki eru signuð með DNSSEC (og þannig er mikill meirihluti .is-léna) eru opin fyrir árásum á borð við "cache poisoning", en það er tegund af tölvuárás þar sem nafnaþjónar endanotanda (e. resolvers) eru plataðir til að beina umferð fyrir ákveðið lén yfir á aðra netþjóna en þá sem raunverulega hýsa þjónustuna. Hafa slíkar árásir verið notaðar til að stela lykilorðum og öðrum persónupplýsingum og til að lama þjónustur stórra fyrirtækja og stofnanna.

Öll mikilvæg lén ættu að vera signuð með DNSSEC, enda er DNS kerfið ein af grunnstoðum Internetsins. DNSSEC er því grundvöllur fyrir öruggum samskiptum á netinu. Auðvelt er að sjá hvort lén er DNS signað eða ekki með því að fletta því upp í Whois leit ISNIC (efst á þessari síðu).

Spyrjið ykkar hýsingaraðila um DNSSEC. Allir góðir hýsingaraðilar ættu að geta boðið upp á að signa lén með DNSSEC. Og allir sem reka endurkvæma nafnaþjóna þurfa að sjá til þess að þeir sannreyni upplýsingar um signuð lén ("validate").

Hvernig virkja ég DNSSEC fyrir mitt lén?

Hvað er DNSSEC?