DNSSEC ble introdusert for norske domenenavn i 2014. Takket være at mange domeneforhandlere kom kjapt på banen, nådde vi raskt verdenstoppen i andel signerte domenenavn, og der har vi holdt oss siden. Norid ser på DNSSEC som en viktig sikkerhetskomponent i domenenavnsystemet og mener teknologien bør være en standardleveranse for norske domenenavn. Difi definerte i 2015 DNSSEC som anbefalt standard for offentlige virksomheter. Vi anbefaler at alle forhandlere tilbyr DNSSEC og bidrar aktivt til videre utbredelse.
Vi har valgt å introdusere DNSSEC som en infrastrukturoppgradering. En domeneabonnent skal verken måtte kjenne til teknologien eller aktivt bestille den for å få denne sikkerhetsoppgraderingen for sitt domenenavn.
Komme i gang med DNSSEC
DNSSEC-teknologien er avansert, og det er lite slingringsmonn for feil. Her gir vi noen innspill til hvordan det kan være smart å starte opp avhengig av om du er domeneforhandler eller også er internettleverandør eller tilbyr andre tekniske tjenester.
Hvordan kan forhandlere tilby sikring med DNSSEC?
Forhandlere som skal tilby DNSSEC, må være registrert hos oss. I praksis skjer det ved at forhandleren kontakter oss, og vi aktiverer DNSSEC på forhandlerens konto på forhandlerweben. Det går fram av forhandleroversikten om forhandleren tilbyr sikring med DNSSEC eller ikke.
DPS-dokument for .no
DPS-dokumentet (DNSSEC Policy and Practice Statement) beskriver hvordan Norid sikrer og drifter DNSSEC-sikrede soner. Format og innhold er laget i henhold til anbefalinger og standardisering i RFC6841. Her beskrives blant annet nøkkelvalg, algoritmevalg, prosedyrer for rullering av nøkler, litt om infrastruktur, og hvordan vi har sikret signeringskjede og nøkkelinformasjon. Valg av algoritmer og andre verdier er basert på beste praksis og DPS-dokumentene til .se, .nl og .at.
DPS dokument (PDF, revisjon 1e2, datert 2022-02-01)
E-postliste
E-postlista dnssec-announce@norid.no er en informasjonskanal fra Norid om driften av DNSSEC for .no, ref. kapittel 2.1 i DPS-dokumentet. Den er primært tenkt som en beredskapskanal for hendelser som det er nødvendig å informere forhandlerne om. Den vil også bli brukt for varsling av planlagte endringer, som for eksempel rullering av KSK-nøkler. Bare Norid kan sende meldinger til lista.
Domeneforhandlere som tilbyr DNSSEC legges automatisk til lista. Som forhandler kan du melde på alle medarbeidere som du mener kan ha nytte av å være medlem. Be om å få adressene deres lagt til ved å sende en e-post til dnssec-announce-owner@norid.no.
Mer om DNSSEC
- DNSSEC Policy & Practice Statements (DPS) (ISOC)
- Where do I start? (ISOC, veileder beregnet på forhandlere og internettleverandører)
- Praktiske tips og løsninger for håndtering av DNSSEC-signerte domenenavn (Norid)
- Sikrere norske domenenavn med DNSSEC (Norid)