Defaults.Exposed

Defaults.Exposed › Rapporter

Hvad er DNSSEC — og har du egentlig brug for det? (2026)

Udgivet 2026-07-01

Tal pr. 2026-06-29 · metodologi v7. Samlede folketællingsdata på tværs af 261 millioner bedømte domæner. DNSSEC tilføjer kryptografiske signaturer til DNS, så en resolver kan bevise, at et svar virkelig kom fra dig og ikke er blevet manipuleret. Se hvordan vi bedømmer.

DNSSEC stempler hvert DNS-svar for dit domæne med en signatur, så en angriber ikke i det skjulte kan bytte det ud med et falsk og sende dine besøgende et andet sted hen. Det er en af de mindst udbredte sikkerhedsforanstaltninger på nettet: kun 1.99% af 261 millioner domæner har en gyldig signeret kæde. Det er også en af de få, hvor en dårlig konfiguration er værre end ingen — 3.02% af domænerne er signerede, men ødelagte, hvilket kan gøre dem unåelige. Her er, hvad det gør, og om du har brug for det.

Hvad DNSSEC faktisk beskytter mod

Almindelig DNS har ingen måde at bevise, at et svar er ægte. Det åbner døren for cache poisoning og on-path DNS-spoofing — en angriber fodrer en resolver med en forfalsket post og peger dine besøgende, eller din e-mail, mod deres server, uden nogen certifikatadvarsel, der afslører det. DNSSEC lukker det hul ved at signere posterne, så en validerende resolver afviser alt, der ikke kan verificeres.

Hvad det ikke gør: det krypterer ikke DNS, sikrer ikke selve websitet og erstatter ikke HTTPS, DMARC eller CAA. Det er ét lag — integritet for DNS-svar.

Udbredelsesbilledet

Fordelt på domæneendelse varierer gyldig DNSSEC bredt: 18.38% på .se, 11.86% på .nl, 14.62% på .cz — mod blot 1.62% på .com.

Har du brug for det?

Sådan slår du det til på en sikker måde

  1. Brug en DNS-udbyder, der automatiserer DNSSEC — signering og nøgleudskiftninger håndteres for dig (de fleste større udbydere gør nu dette med ét klik). Se ret DNSSEC.
  2. Aktivér signering, og udgiv derefter DS-posten hos din registrator for at fuldføre tillidskæden.
  3. Valider, at kæden resolver, før du går fra det — et signeret-men-ødelagt domæne er værre end et usigneret.
  4. Håndtér aldrig nøgler manuelt, medmindre du har værktøjerne til at rotere dem pålideligt.

Ofte stillede spørgsmål

Hvad er DNSSEC med enkle ord? Det er et sæt digitale signaturer på dine DNS-poster, så resolvere kan bevise, at svaret er ægte og ikke blev forfalsket undervejs.

Har jeg virkelig brug for DNSSEC? Det er mest værdifuldt for domæner, der er stærkt målrettede, og hvor compliance kræver det. For alle andre er det et godt hærdningstrin, hvis din DNS-udbyder automatiserer det — hovedrisikoen er en fejlkonfiguration, som 3.02% af domænerne i øjeblikket har.

Krypterer DNSSEC min DNS? Nej. Det beviser integritet (at svaret er autentisk), men skjuler ikke forespørgslen. Det er en anden teknologi (DoH/DoT).

Kan DNSSEC ødelægge mit website? En ødelagt eller udløbet signatur kan gøre dit domæne uopløseligt for enhver, der bruger en validerende resolver. Derfor er automatiseret signering og nøgleudskiftning vigtig.

Er DNSSEC gratis? Ja hos de fleste moderne DNS-udbydere — det er en indstilling, ikke et køb.

Tjek dit domænes DNSSEC gratis

Se, om dit domæne er signeret, gyldigt og korrekt kædet — privat og kun for ejeren.

Tjek dit domæne → · Ret DNSSEC → · Virker obligatorisk DNSSEC? → · Hvordan vi bedømmer → · Kun samlede data. Data lagres og behandles i EU.