Vad är DNSSEC?
Domain Name System Security Extensions (DNSSEC eller DNS Security Extensions) är en uppsättning Internet Engineering Task Force (IETF) specifikationer för att säkra vissa typer av information som tillhandahålls av Domain Name System (DNS) som används i Internet Protocol (IP) nätverk.
DNSSEC tillhandahåller DNS-resolvers ursprungsautentisering av DNS-data, autentiserat förnekande av existens och dataintegritet men inte tillgänglighet eller konfidentialitet.
DNSSEC autentiserar DNS med digitala signaturer baserade på kryptografi med publik nyckel. Med DNSSEC är det inte DNS-förfrågningar eller svar som signeras utan själva DNS-datan signeras snarare av dataägaren.
Hur fungerar DNSSEC?
DNSSEC fungerar genom att lägga till ytterligare information till DNS-förfrågan/svarsprotokollet. För att lägga till den extra informationen skapar DNS-upplösare först en digital signatur av DNS-frågan med hjälp av ett eller flera offentliga/privata nyckelpar för att säkra frågans innehåll.
När den publika nyckeln för en resolver har registrerats, läggs frågan och dess signatur till DNS-svaret och levereras till det begärande systemet. Det svarande systemet verifierar sedan signaturen och den ursprungliga frågan returneras till klienten. Denna process möjliggör pålitlig och autentiserad kommunikation mellan de två systemen.
Varför är DNSSEC viktigt?
Domain Name System (DNS) är kritisk infrastruktur som används av miljarder människor som en mekanism för att lokalisera och komma åt information på Internet. När det kommer till cybersäkerhet hjälper DNSSEC till att skydda DNS genom att säkra DNS-resolverns kommunikation med klienten, och därigenom begränsa exponeringen av resolvern och den data den hanterar.
DNSSEC säkerställer också integriteten hos DNS-data genom att autentisera data som tas emot från klienten med data som lagras i DNS. Utan DNSSEC skulle hela DNS kunna utsättas för man-in-the-middle-attacker, där en skadlig tredje part kan ändra data i DNS.
Hur vet resolvers när de ska lita på DNSSEC-nycklar?
För att validera signaturen för DNS-frågan måste en resolver ha information om den publika nyckel vars signatur den kommer att använda. När ett system ansluter till en DNS-server förser klienten servern med den publika nyckeln som är kopplad till adressen (AAAA-posten) för det namn som klienten vill lösa.
Om servern ansluter till ett annat system, eller om det finns andra problem längs vägen till klienten, kommer den publika nyckeln från serverns svar att vara annorlunda och klienten kommer inte att kunna validera signaturen.
För att undvika detta problem söker DNS-resolvern först efter nyckeln som är kopplad till adressen som klienten vill lösa. Om nyckeln som är associerad med den adressen inte hittas, kontrollerar resolvern nyckeln för eventuella andra adresser som kan vara en del av frågan. Resolvern använder sedan nyckeln som är associerad med adressen som klienten begärde för att validera signaturen.
Hur ersätts DNSSEC-nycklar?
DNSSEC-nycklar ersätts automatiskt av resolver för varje fråga. För att avgöra om nyckeln för adressen ska ersättas kontrollerar resolvern först om nyckeln kommer från en resolver som har svarat på frågan tidigare.
Om så var fallet kommer upplösaren att ersätta nyckeln för den adressen med nyckeln från det andra systemet, men om nyckeln inte är från ett tidigare svar kommer upplösaren inte att ersätta nyckeln. Eftersom DNSSEC-nycklar ersätts automatiskt, behöver du inte oroa dig för att periodvis arkivera nycklar eller utföra någon annan uppgift för att behålla nycklarna.
Genom att byta nycklar automatiskt hjälper DNSSEC att ge skydd mot nyckelutmattning, där samma nyckel används för många gånger. Eftersom nyckeln byts ut automatiskt behöver du inte oroa dig för att regelbundet arkivera nycklar eller utföra någon annan uppgift för att behålla nycklarna.
Varför använder inte alla DNSSEC?
Det finns många fördelar med att använda DNSSEC, inklusive ökad säkerhet, förbättrad integritet och minskade driftskostnader. Trots det använder mer än 99 % av DNS-upplösarna inte DNSSEC. Detta beror främst på svårigheten att aktivera DNSSEC på befintliga system och bristen på utbildning för DNS-administratörer.
