NO / EN

Norid AS

Abels gt. 5, Teknobyen

Telefon +47 73 55 73 55

DNSSEC (DNS Security Extensions) er en sikkerhetsmekanisme som legges inn i domenenavnsystemet. Med DNSSEC signeres svarene på et domeneoppslag på en slik måte at det er mulig å kontrollere at de kommer fra riktig kilde og ikke er endret underveis.

DNSSEC ble introdusert for norske domenenavn i 2014. Takket være at mange domeneforhandlere kom kjapt på banen, nådde vi raskt verdenstoppen i andel signerte domenenavn, og der har vi holdt oss siden. Norid ser på DNSSEC som en viktig sikkerhetskomponent i domenenavnsystemet og mener teknologien bør være en standardleveranse for norske domenenavn. Difi definerte i 2015 DNSSEC som anbefalt standard for offentlige virksomheter. Vi anbefaler at alle forhandlere tilbyr DNSSEC og bidrar aktivt til videre utbredelse.

Vi har valgt å introdusere DNSSEC som en infrastrukturoppgradering. En domeneabonnent skal verken måtte kjenne til teknologien eller aktivt bestille den for å få denne sikkerhetsoppgraderingen for sitt domenenavn.

Komme i gang med DNSSEC

DNSSEC-teknologien er avansert, og det er lite slingringsmonn for feil. Her gir vi noen innspill til hvordan det kan være smart å starte opp avhengig av om du er domeneforhandler eller også er internettleverandør eller tilbyr andre tekniske tjenester.

Hvordan blir du en DNSSEC enabled forhandler?

Forhandlere som skal tilby DNSSEC, må være registrert hos oss. I praksis skjer det ved at forhandleren kontakter oss, og vi aktiverer en DNSSEC enabled-parameter på forhandlerens konto på forhandlerweben. Det går fram av forhandleroversikten om forhandleren er DNSSEC enabled eller ikke.

DPS-dokument for .no

DPS-dokumentet (DNSSEC Policy and Practice Statement) beskriver hvordan Norid sikrer og drifter DNSSEC-sikrede soner. Format og innhold er laget i henhold til anbefalinger og standardisering i RFC6841. Her beskrives blant annet nøkkelvalg, algoritmevalg, prosedyrer for rullering av nøkler, litt om infrastruktur, og hvordan vi har sikret signeringskjede og nøkkelinformasjon. Valg av algoritmer og andre verdier er basert på beste praksis og DPS-dokumentene til .se, .nl og .at.

DPS dokument (PDF, revisjon 1e1, datert 2014-12-16)

E-postliste

E-postlista dnssec-announce@lists.norid.no er en informasjonskanal fra Norid om driften av DNSSEC for .no, ref. kapittel 2.1 i DPS-dokumentet. Den er primært tenkt som en beredskapskanal for hendelser som det er nødvendig å informere forhandlerne om. Den vil også bli brukt for varsling av planlagte endringer, som for eksempel rullering av KSK-nøkler. Bare Norid kan sende meldinger til lista.

Domeneforhandlere som håndterer DNSSEC legges automatisk til lista når de ber oss om å bli DNSSEC enabled. Som forhandler kan du melde på alle medarbeidere som du mener kan ha nytte av å være medlem. Lista er for øvrig åpen for alle som er interessert i informasjon som gjelder driften av DNSSEC for .no. Det er ikke nødvendig å være medlem av lista for å se meldingsarkivet.

Mer om DNSSEC

Publisert: 16. desember 2014
Sist oppdatert: 25. august 2020