De seneste år er flere og flere begyndt at snakke om DNSSEC. Det er de, fordi der i 2008 blev fundet en kritisk sårbarhed i DNS-processen. Den sårbarhed gør det muligt for hackere at omdirigere webtrafikken.
Det betyder kort fortalt, at en hacker kan efterligne et legitimt website, sende trafik fra den rigtige til den falske side og så stjæle folks data.
Derfor er DNSSEC kommet på dagsordenen. DNSSEC kan nemlig være løsningen til at undgå ovenstående.
I dette blogindlæg kan du blive klogere på særligt 2 ting:
- Hvorfor DNSSEC er smart
- Hvordan du aktiverer DNSSEC på dit domænenavn
DNS-processen kan hackes og falske hjemmesider kan blive vist
Når vi besøger en hjemmeside, taster vi først en URL i browseren eller klikker på et link. Når en af de to ting sker, skal browseren hente IP-adressen til den hjemmeside, og det sker via DNS.
Men disse DNS-forespørgsler, som sker i denne proces, kan som nævnt indledningsvist opfanges og ændres af hackere.
Det betyder, at en hacker kan give falske oplysninger og få din browser til at oprette forbindelse til en falsk hjemmeside – i stedet for den hjemmeside, du egentlig gerne ville besøge.
Det er typisk det, der sker, når domæner bliver misbrugt til phishing eller andre former for svindel. Så klikker modtagerne på noget, der f.eks. ligner et login til deres netbank, men i stedet dirigeres de hen på et phishing-site, hvor de afgiver følsomme oplysninger, som hackerne kan udnytte.
DNSSEC kan beskytte dit domænenavn mod svindel
Med DNSSEC kan du øge sikkerheden på dit domæne og undgå den slags svindel.
DNSSEC står for Domain Name System Security Extensions. Det sikrer, at et opslag på en navneserver fører det rigtige sted hen.
DNSSEC fungerer således, at der tilføjes en kryptografisk signatur eller kode til hvert svar i DNS-processen, som hver for sig igen signeres af niveauet ovenover i hierarkiet. Hvis du taster URL’en ”scannet.dk”, vil browseren f.eks. starte med at spørge roden, hvem der har ansvar for .dk-domænerne. Roden henviser i dette tilfælde til DK Hostmaster.
Herefter bliver DK Hostmaster spurgt, hvem der har ansvaret for scannet.dk, hvor den danske internetadmin henviser til ScanNets navneservere, som så igen oplyser, hvilken IP-adresse webserveren kan findes på.
Med DNSSEC bliver hvert af disse trin kontrolleret. Det vil sige, at det svar, man får fra ScanNet, kan kontrolleres hos DK Hostmaster, og DK Hostmasters svar kan kontrolleres hos ICANN.
DNSSEC er ikke en teknologi, der krypterer data, men DNSSEC bekræfter kryptografisk, at den hjemmeside du besøger, er den rigtige.
Hvem bør aktivere DNSSEC?
I princippet kan alle blive udsat for fusk med sit domænenavn. Men det er selvfølgelig mere attraktivt for hackerne at omdirigere trafikken fra populære hjemmesider, hvor de besøgende indtaster betalingsoplysninger og andre følsomme oplysninger.
Det kan f.eks. være banker, velbesøgte webshops og lignende. Det er dog vigtigt at understrege, at alle sider kan blive ramt, og den eneste måde helt at undgå risikoen er med DNSSEC.
Center for Cybersikkerhed anbefaler da også, at alle organisationer beskytter sine domæner med DNSSEC-teknologien. For statslige myndigheder er det fra 1. januar 2020 faktisk et krav at have aktiveret DNSSEC:
”DNSSEC er en ekstra sikkerhedsservice, man kan tilknytte sit domænenavn. Med DNSSEC kan man være sikker på, at den rigtige side bliver vist, når der bliver linket til ens hjemmeside, og når den direkte URL-adresse bliver brugt. Klienter kan dermed kryptografisk stole på, at de tilgår det rette domæne.” (kilde: Sikkerdigital.dk)
Kravet er vedtaget som led i den nationale strategi for cyber- og informationssikkerhed, som bl.a. Digitaliseringsstyrelsen og Erhvervsstyrelsen står bag sammen med en række andre samarbejdspartnere.
Så nemt er det at aktivere DNSSEC
Er du blevet overbevist om fordelene ved DNSSEC?
Er du klar til at aktivere det på dit eget domænenavn?
Hvis du har domæne og DNS hos ScanNet, er det meget simpelt at aktivere. Følg blot disse 4 trin:
- Log ind i dit kontrolpanel
- Find DNS administrationen
- Scroll lidt ned og find fanen ”DNSSEC”
- Klik på ”Aktiver DNSSEC”
That’s it.
Vi gør dog opmærksom på, at det er på eget ansvar at aktivere DNSSEC. Hvis det af den ene eller anden årsag ikke er opsat korrekt på domænet eller din besøgendes DNS-resolver, vil domænet stoppe med at virke uden videre fejlbesked. Og når først det er aktiveret, kan det ikke deaktiveres med det samme på grund af lang DNS-cache på mange DNS-resolvere.
Oplever du problemer, er du dog som altid velkommen til at kontakte os på support@scannet.dk
Har du spørgsmål eller kommentarer til indholdet af denne artikel, er du mere end velkommen til at sende os en mail, eller skrive en kommentar her.