Hvad er DNSSEC?

one.com understøtter DNSSEC (Domain Name System Security Extensions). Funktionen er som standard aktiveret, når du bruger one.coms navneservere. I denne artikel fortæller vi mere om DNSSEC.

For at forstå DNSSEC er det en god idé at have et grundlæggende kendskab til DNS (Domain Name System). Hvis du har brug for en opfriskning, kan du læse vores guide: What is DNS?

Ny opdatering til one.com-kontrolpanelet

I forbindelse med lanceringen af vores nye kontrolpaneldesign kan nogle trin eller skærmbilleder i denne vejledning se anderledes ud end det, du ser nu. Mens vi arbejder på opdateringerne, bedes du tjekke vejledningen nedenfor, hvis instruktionerne ikke stemmer overens med det, du ser på skærmen:

Navigating Det nye design af one.com-kontrolpanelet

Hvad er DNSSEC?

DNS er i sig selv ikke sikkert. For at øge sikkerheden blev DNSSEC udviklet. Det er et sæt udvidelser, der tilføjer et ekstra sikkerhedslag til DNS-zonen ved at underskrive den digitalt. Hvis et domænenavn bruger DNSSEC, forsynes DNS-posterne med kryptografiske signaturer (sikkerhedsnøgler).

Disse signaturer valideres af DNS-resolverne, hvilket sikrer, at DNS-oplysningerne stammer fra den korrekte DNS-server. På den måde kan posten ikke ændres eller forfalskes, og den er ikke blevet manipuleret under overførslen. Dette giver en sikker måde at få adgang til din hjemmeside og dine onlinetjenester på.

Hvad beskytter DNSSEC?

DNS er sårbar over for en række DNS-baserede angreb, såsom DNS-spoofing, -kapring og -cacheforgiftning. Disse angreb kan have alvorlige konsekvenser, herunder omdirigering af brugere til ondsindede eller svigagtige hjemmesider, tyveri af følsomme oplysninger eller forstyrrelse af internettets normale drift.

DNSSEC-signerede domæner garanterer ægtheden og integriteten af de DNS-data, der udveksles mellem signerede zoner. Dette øger troværdigheden og forbedrer den generelle sikkerhed i DNS-infrastrukturen i den enkelte zone.

DNS-data er hverken krypteret eller beskyttet af databeskyttelsesregler. TLS/SSL krypterer derimod data, der udveksles mellem klienter og servere, for at sikre forskellige internetprotokoller, herunder webbrowsing (HTTPS) og e-mail (SMTP, IMAP). Til gengæld yder et SSL-certifikat ikke beskyttelse mod spoofing, hvilket DNSSEC derimod gør. Læs mere om SSL i vores artikler i afsnittet this.

 

Tip: Hvis du vil vide mere om, hvad DNSSEC er, og hvorfor det er vigtigt, kan du læse denne artikel fra ICANN

Sådan administrerer du DNSSEC

DNSSEC er aktiveret som standard ved brug af one.coms navneservere. Hvis du vil deaktivere det, skal du følge disse trin:

  1. Log ind på dit one.com-kontrolpanel.
  2. Klik på DNS-indstillinger i feltet Avancerede indstillinger.
  3. Klik på fanen Navneservere.
  4. I din DNS-serveradministration skal du klikke på fanen DNSSEC.
  5. Klik på knappen Deaktivér .

Deactivate_DNSSEC.gif

Sådan kontrollerer du, at DNSSEC fungerer

Du kan bruge et webbaseret valideringsværktøj til at kontrollere, om DNSSEC-konfigurationen fungerer for dit domæne. Vi har listet to nedenfor. De kontrollerer, om dit domænes DNS-records er signeret korrekt og kan bekræftes af DNS-resolvere. De giver også en rapport om eventuelle problemer eller fejl.

  • - Giver en visuel repræsentation. Du bør kun se "Secure" i venstre kolonne.
     
  • DNSSEC-Analyzer.VeriSignLabs.com - Indeholder detaljerede oplysninger. Du bør kun se grønne flueben.

Har du aktiveret DNSSEC via one.com-kontrolpanelet? I så fald kan bekræftelsen tage op til 24 timer. Når aktiveringen er gennemført, vises der en grøn bjælke med en meddelelse om, at det er lykkedes, som vist på skærmbilledet nedenfor. Når du besøger siden igen, vises denne meddelelse ikke længere.

DNSSEC_active.png

 

Bruger du ikke vores navneservere?

DNSSEC deaktiveres automatisk, hvis du skifter til eksterne navneservere. Meddelelsen på skærmbilledet nedenfor vises derefter i one.com-kontrolpanelet under »DNS-indstillinger« > »Navneservere« > »DNSSEC«. Når DNSSEC er aktiveret via din eksterne DNS-udbyder, skal du manuelt tilføje DS-poster hos os. 

DNSSEC_external_nameserver.png

Tilføjelse af DS-records

DS-poster (Delegation Signer) er en vigtig del af DNSSEC. De gør det muligt at overføre tillid fra en overordnet zone til en underordnet zone, hvilket kaldes en »tillidskæde«. DS-posten bruges til at bekræfte underordnede zoners ægthed. DS-poster konfigureres automatisk, når domænet bruger one.coms navneservere.

Hvis du ikke bruger one.coms navneservere, skal du tilføje DS-poster manuelt via one.coms kontrolpanel. Du kan få de fire nødvendige værdier – KeyTag, Algorithm, Digest type og Digest – fra din navneserverudbyder eller via et genereringsværktøj. Følg derefter disse trin for at oprette DS-posten:

  1. Log ind på dit one.com-kontrolpanel.
  2. Klik på DNS-indstillinger i feltet Avancerede indstillinger.
  3. Klik på fanen Navneservere.
  4. I din DNS-serveradministration skal du klikke på fanen DS-records.
  5. Indtast værdien i de 4 separate felter for KeyTag, Algoritme, Digest-type og Digest
  6. Klik på Gem.
  7. Den begynder nu at indlæse dine eksisterende DNS-records. Der vises en grøn bjælke med en succesmeddelelse, hvis oprettelsen lykkes.

Bemærk: At tilføje forkerte DNS-records kan medføre nedetid på hjemmesiden. Du er velkommen til at kontakte vores support for at få hjælp, hvis du er bekymret for noget i DNS-indstillingerne.

DNSSEC_DS_records.png

 

Relaterede artikler:

Var denne artikel en hjælp?

Kan du ikke finde, hvad du leder efter?

Start en chat

Den hurtigste måde at kontakte os på — hverdage fra 09:00 til 18:00.

Start chat