DNS är internets "adressbok". När du skriver in en adress slår webbläsaren upp domännamnet i DNS och får IP-adressen till webbservern, som den kan ansluta till. DNSSEC är en säkerhetsteknik som skyddar DNS från att förfalskas och gör det svårare att lura användare till fel plats.
Vad är DNS och varför är det viktigt?
DNS är en grundläggande del av internet. Det är systemet som gör att vi kan använda lättlästa domännamn som internetstiftelsen.se i stället för att behöva komma ihåg långa sifferkombinationer. Men DNS har fler egenskaper – genom DNS kan vi ha mailadresser som bygger på ett domännamn, till exempel info@internetstiftelsen.se.
När du klickar på en länk eller skriver in en domän görs en DNS-förfrågan. Svaret talar om vilken server din dator ska kontakta. Om svaret är fel riskerar du att hamna på en falsk webbplats, även om du har skrivit in rätt adress.
DNS kan kapas och förfalskas
En svaghet med vanlig DNS är att det saknas en inbyggd möjlighet att bekräfta om ett svar verkligen kommer från rätt källa eller inte. Därmed finns det risk för attacker där någon kan försöka förfalska DNS-svar för att lura dig till en annan destination än den du tänkt dig. Att förse falsk information till DNS-systemet brukar kallas cacheförgiftning.
Det kan i sin tur användas för att genomföra nätfiske (phishing), sprida skadlig kod eller avlyssna trafik. För internetanvändaren kan det se helt normalt ut – webbadressen är densamma. Men du hamnar ändå fel.
DNSSEC – en digital signatur för DNS
DNSSEC är en uppsättning säkerhetsfunktioner som gör att DNS-svar kan signeras kryptografiskt.
Man kan säga att DNSSEC fungerar som en digital kvalitetsstämpel: när ett DNS-svar är signerat kan mottagaren kontrollera att informationen är äkta och inte har manipulerats på vägen. DNSSEC skyddar alltså inte själva innehållet på webbplatsen eller krypterar trafiken – utan ser till att du får rätt svar på DNS-förfrågan från början.
När en domän använder DNSSEC publiceras särskilda nycklar i DNS. De kan användas för att verifiera de kryptografiska signaturerna på DNS-posterna. När din dator eller din internetleverantör skickar en DNS-förfrågan kan svaret verifieras med dessa signaturer. Om någon försöker ändra svaret, eller om svaret kommer från en felaktig källa, upptäcks det. Då kan systemet välja att stoppa uppkopplingen i stället för att skicka dig vidare till en potentiellt falsk server.
Förkortningar
Här är några vanliga förkortningar och vad de betyder. Du kan läsa mer om respektive begrepp på Wikipedia.
- DNS – Domain Name System
- DNSSEC – Domain Name System Security Extensions
Varför är DNSSEC viktigt?
DNSSEC är en av de viktigaste byggstenarna för ett robust och tillförlitligt internet. Tekniken bidrar till att göra attacker mot DNS betydligt svårare. Det är särskilt viktigt för samhällsviktiga tjänster, myndigheter, banker och andra verksamheter där förtroende och säkerhet är avgörande. Men i praktiken gynnar DNSSEC alla som använder internet.
DNSSEC ger bara skydd om domännamnets DNS-hantering är uppdaterat med DNSSEC, och om DNS-servern som din dator använder kontrollerar DNS-uppslagningarna.
Vidare läsning
- Du kan läsa mer om hur DNSSEC fungerar hos företaget Cloudflare.
- Du kan testa ditt eller någon annans domännman med kontrollverktyget Zonemaster eller DNS Viz.