DNSSEC (Domain Name System Security Extensions)

När du skriver in en webbadress i din webbläsare förlitar du dig på DNS-systemet för att översätta namnet till rätt IP-adress. Men hur kan du vara säker på att svaret du får tillbaka är äkta och inte har manipulerats på vägen? DNSSEC är en uppsättning tillägg till DNS som adresserar just denna utmaning genom att lägga till ett lager av digitala signaturer och förtroende. Ett närliggande komplement är DoH (DNS over HTTPS), som skyddar själva DNS-förfrågan från att kunna avlyssnas genom att kryptera den via HTTPS.

Vad är DNSSEC?

DNSSEC (Domain Name System Security Extensions) är en serie tekniska specifikationer från IETF (Internet Engineering Task Force) som syftar till att säkra DNS-protokollet genom att tillhandahålla ursprungsverifiering (authentication) och dataintegritet för DNS-data. Det fungerar genom att domänägare digitalt signerar sina DNS-poster med hjälp av publika nyckelkryptografi. Klienter (resolvers) som stöder DNSSEC kan sedan verifiera dessa signaturer för att säkerställa att informationen de tar emot är exakt densamma som den som publicerades av domänägaren och att den inte har ändrats på vägen.

Varför är DNSSEC viktigt?

DNSSEC är avgörande för att skydda mot specifika typer av attacker som riktar sig mot DNS-systemets sårbarheter:

• Skydd mot DNS Cache Poisoning/Spoofing: Förhindrar att angripare kan injicera falska DNS-svar i resolvers cacheminne och därmed omdirigera användare till skadliga webbplatser (t.ex. phishing-sidor) utan deras vetskap.
• Säkerställer dataintegritet: Garanterar att DNS-informationen (t.ex. IP-adresser associerade med ett domännamn) inte har modifierats under överföringen.
• Verifierar datakällans äkthet: Bekräftar att svaret verkligen kommer från den auktoritativa namnservern för den aktuella domänen.
• Möjliggör andra säkerhetstekniker: DNSSEC är en grundförutsättning för andra tekniker som förlitar sig på säker DNS-information, såsom DANE (DNS-based Authentication of Named Entities) för att säkra TLS-certifikat.

Hur fungerar DNSSEC?

DNSSEC introducerar flera nya typer av DNS-poster och använder kryptografiska signaturer:

1. Signering: Domänägaren (eller deras DNS-leverantör) signerar sina DNS-zonfiler med en privat nyckel. Detta skapar signaturposter (RRSIG-poster) för varje befintlig posttyp (t.ex. A, MX, CNAME).
2. Publicering av nycklar: Den publika nyckeln som motsvarar den privata signeringsnyckeln publiceras i DNS som en DNSKEY-post.
3. Kedja av förtroende (Chain of Trust): För att validera en signatur måste resolvern lita på den publika nyckeln. Detta uppnås genom en hierarkisk kedja av förtroende. Ett ”hashavtryck” av domänens publika nyckel (en DS-post – Delegation Signer) publiceras i föräldrazonen (t.ex. .se-zonen för en .se-domän). Föräldrazonen är i sin tur signerad, och dess DS-post finns i rotzonen, som är signerad med en rotnyckel som resolvers litar på implicit (Trust Anchor).
4. Validering: När en DNSSEC-medveten resolver tar emot ett DNS-svar, begär den även de associerade RRSIG- och DNSKEY-posterna. Resolvern följer sedan kedjan av DS-poster uppåt i hierarkin till rotens trust anchor och verifierar varje signatur längs vägen för att säkerställa att de mottagna DNS-posterna är autentiska och oförändrade.
5. Bevis på icke-existens: DNSSEC inkluderar även mekanismer (NSEC/NSEC3-poster) för att kryptografiskt bevisa att ett visst domännamn eller en viss posttyp inte existerar, vilket skyddar mot förfalskade negativa svar.

DNSSEC är en kritisk säkerhetsuppgradering för DNS-infrastrukturen som skyddar användare från att omdirigeras till fel platser online genom att säkerställa äktheten och integriteten hos DNS-svar med hjälp av digitala signaturer och en hierarkisk kedja av förtroende.