Defaults.Exposed › Rettelser › DNSSEC

Sådan retter du DNSSEC

DNSSEC er et digitalt segl på dit domænes adressebog. Det lader internettet bevise, at svaret på 'Hvor bor dette domæne?' virkelig kom fra dig og ikke blev manipuleret undervejs. Uden det kan svaret forfalskes — og dine besøgende sendes stille videre et andet sted hen.

Det korte svar for din virksomhed: Uden DNSSEC kan en angriber der kan forgifte et DNS-svar pege dine kunder på en perfekt kopi af din side, mens deres browser stadig viser dit rigtige domænenavn. Logins, kortnumre og personoplysninger høstes, og du finder kun ud af det fra chargebacks og klager. En halvfærdig DNSSEC-opsætning er endnu værre: den kan gøre din side utilgængelig for en voksende andel af besøgende uden nogen fejl, du nogensinde ville lægge mærke til.

Hvad dette kan koste dig

• Besøgende der taster dit rigtige domæne omdirigeres stille til et look-alike der fanger deres adgangskode og kortoplysninger — og fordi adresselinjen viser dit domæne hele tiden, mistænker ingen noget, inden svindelrapporterne ankommer.
• Din e-mail omdirigeres stille: en angriber forfalsker svaret for dine mailservere, læser eller opsnapper beskeder, og nulstiller adgangskoder på konti der sender dig en kode via e-mail — alt sammen uden at røre din indbakke.
• En halvkonfigureret DNSSEC-opsætning (det offentlige segl eksisterer men den matchende nøgle mangler) får din hjemmeside og e-mail til tilfældigt at fejle for kunder på store ISP'er og virksomhedsnetværk — intermitterende 'din side er nede for mig'-rapporter du ikke kan reproducere.
• Et prospects sikkerhedsteam kører et tjek inden kontrakt, ser ingen DNSSEC, og markerer dig som svag på det grundlæggende — sætter en handel i fare over en gratis indstilling.
• Offentlige sektor- og større B2B-kunder forventer i stigende grad DNSSEC som en baseline (det nævnes i regler som NIS2); dets fravær diskvalificerer dig stille fra udbud, inden en samtale overhovedet begynder.

Hvorfor det betyder noget. DNS er internettets adressebog, og som standard rejser dens svar usignerede — enhver der kan smugle et forfalsket svar ind, kan sende dine kunder og din e-mail derhen, de vil, mens dit rigtige domæne stadig vises i browseren. DNSSEC sætter et manipulationssikkert segl på de svar, så de kan verificeres som genuint dine. Fikset er gratis hos de fleste udbydere; den eneste reelle omkostning er at gøre det forkert, hvilket er grunden til, at vi nøje gennemgår begge halvdele.

DNSSEC på klart dansk

Hver gang nogen besøger din hjemmeside eller sender dig en e-mail, stiller deres computer først internettet et simpelt spørgsmål: “Hvor bor dette domæne egentlig?” Svaret — sættet af adresser for din side og dine mailservere — kommer tilbage fra DNS, internettets adressebog.

Her er den ubehagelige del: som standard rejser disse svar usignerede. Der er intet vedhæftet der beviser, at svaret er ægte. Kan nogen smugle et forfalsket svar ind i den samtale — og der er velkendte, beviste måder at gøre præcis det på — vil en besøgendes computer glad acceptere det. Fra det øjeblik kan den besøgende tale med en angribers server, mens deres browser stadig viser dit domænenavn i adresselinjen.

DNSSEC er fikset. Det tilføjer et manipulationssikkert digitalt segl til dine DNS-svar. Når DNSSEC er slået til, kan internettet matematisk verificere, at et svar virkelig kom fra dig og ikke blev ændret undervejs. Et forfalsket svar fejler tjekket og kasseres. Det er forskellen på en adressebog alle kan skrive i, og én hvor hvert opslag er signeret og bevidnet.

Denne side dækker de to dele, vores tjek ser på sammen: om seglet er publiceret (DS-recorden) og om den matchende nøgle bag det faktisk eksisterer (DNSKEY-recorden). Du vil snart se, hvorfor begge tæller — fordi at have den ene uden den anden er sin egen slags problemer.

Hvad dette kan koste dig

• Den usynlige omdirigering. En angriber forgifter DNS-svaret for dit domæne. Kunder taster din rigtige webadresse, ser dit rigtige domæne i adresselinjen, og lander på en fejlfri kopi af din login- eller checkout-side hostet af angriberen. Enhver adgangskode og hvert kortnummer de taster går direkte til den kriminelle. Du hører om det kun, når chargebacks og “jeg blev hacket via din side”-opkald starter.

• Stille e-mail-aflytning. DNS peger ikke blot på din hjemmeside; det peger på dine mailservere. Forfals det svar og indgående e-mail kan rutes igennem en angriber først. De læser følsomme beskeder, høster engangskoderne som tjenester sender til “verificer at det er dig,” og nulstiller adgangskoder på konti knyttet til dit domæne.

• Driftsafbruddet du ikke kan reproducere. Det her kommer fra en halvfærdig DNSSEC-opsætning. Det offentlige segl (DS) sidder hos din registrar, men den matchende nøgle (DNSKEY) mangler eller er forkert. Besøgende på ISP’er og virksomhedsnetværk der tjekker DNSSEC — og der er flere hvert år — kan simpelthen slet ikke opløse dit domæne. Din side og e-mail fungerer fint for dig og dit team, men en andel af rigtige kunder får “denne side kan ikke nås” uden nogen fejl, du kan se. Det er et af de sværeste problemer at diagnosticere, præcis fordi det er usynligt indefra.

• Den tabte handel. Et prospects sikkerheds- eller indkøbsteam kører en rutinescanning af dit domæne. Ingen DNSSEC dukker op som et rødt mærke på “DNS-sikkerhedsgrundlaget.” For en gratis, velforstået kontrol læses dens fravær som skødesløshed.

• Det udbud du ikke engang kvalificerer dig til. Regler og købers tjeklister nævner i stigende grad DNSSEC som forventet baseline-hygiejne (det refereres under NIS2’s DNS-sikkerhedsbestemmelser). Større B2B- og offentlige sektorkøbere kan sortere dig fra, inden en salgssamtale begynder.

Hvad det faktisk er

DNSSEC fungerer som en tillids-kæde og har to bevægelige dele der skal stemme overens. Det er kernen i, hvorfor vores tjek ser på to ting.

DNSKEY — din nøgle. Din DNS-udbyder holder en kryptografisk nøgle og bruger den til at signere dine DNS-records. Den offentlige halvdel af den nøgle publiceres som en DNSKEY-record. Tænk på det som segl-stemplet holdt hos dig.

DS-recorden — fingeraftrykket der garanterer for nøglen. Et kort fingeraftryk af den nøgle, kaldet en DS (Delegation Signer)-record, publiceres ét niveau op — hos dit domænes registry, via din registrar. Det er det der lader resten af internettet stole på din nøgle: hvert niveau garanterer for niveauet under, hele vejen op til internettets rod.

For at DNSSEC faktisk beskytter dig, skal begge være til stede og matche:

• DS til stede + DNSKEY til stede og matchende → godt. Tillids-kæden er komplet. Forfalskede svar afvises; legitime verificeres. Dette er “bestå”-tilstanden.
• Ingen DS (og ingen DNSKEY) → DNSSEC er simpelthen ikke slået til. Du har ingen beskyttelse, men intet er brudt. Dette er den mest gængse “endnu ikke gjort”-tilstand.
• DS til stede, men DNSKEY manglende eller fejlmatchende → brudt, og værre end fra. Internettet ser et publiceret segl der peger på en nøgle der ikke er der. Validerende resolvers konkluderer, at dit domæne er blevet manipuleret og nægter at opløse det. Dette er den mest akutte tilstand at fikse, og vores tjek flagger det som høj alvorlighed.
• DNSKEY til stede, men ingen DS hos registraren → slået til men ikke aktiveret. Dine records er signerede, men fordi fingeraftrykket aldrig blev registreret ét niveau op, har resten af internettet ingen måde at stole på dem. Du får arbejdet uden beskyttelsen.

Hvad “godt” ser ud som i én linje: en DS-record hos din registrar hvis fingeraftryk matcher en live DNSKEY hos din DNS-udbyder, begge bekræftet med et hurtigt opslag.

Sådan fikser du det (gratis, ~10–30 minutter)

Overrækk dette afsnit til den der administrerer dit domæne eller din hjemmeside. Selve fikset er gratis hos de fleste udbydere — den eneste omkostning er at gøre det omhyggeligt, så de to halvdele forbliver synkroniserede.

Den gyldne regel: aktiver signering først (hvilket opretter DNSKEY), publicer derefter DS-recorden hos registraren — aldrig den anden vej rundt, og aldrig den ene uden den anden. At publicere en DS inden nøglen eksisterer er præcis, hvad der forårsager driftsafbrydelser.

Den enkle vej (anbefalet — Cloudflare):

1. Sørg for, at Cloudflare faktisk kører dit DNS (dine nameservere peger på Cloudflare).
2. Gå til DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare genererer og administrerer nøglerne for dig (dette opretter DNSKEY-siden automatisk).
3. Cloudflare viser dig DS-record-detaljerne til publicering hos din registrar.
4. Log ind hos din domæneregistrar og find DNSSEC-sektionen. Indsæt DS-værdierne Cloudflare gav dig.
5. Vent 24–48 timer for fuld propagering. Din side og e-mail fortsætter med at fungere igennem.

Andre DNS-udbydere (AWS Route 53, din webhost osv.):

1. Aktivér DNSSEC / “sign this zone” i din DNS-udbyders kontrolpanel. Dette genererer signeringsnøglerne og publicerer DNSKEY-records.
2. Kopiér den DS-record udbyderen producerer.
3. Tilføj den DS-record hos din registrar under dens DNSSEC-indstillinger.
4. Bekræft, at registraren accepterede den, og vent på propagering.

Platform-noter:

• Cloudflare — enkelt-klik-aktivering, derefter ét DS-indsæt hos registraren. Den nemmeste vej langt.
• AWS Route 53 — aktiver DNSSEC-signering på den hosted zone, tilføj derefter DS-recorden hos dit domænes registrar.
• Microsoft 365 / Google Workspace — disse kører din e-mail, normalt ikke din DNS-zone. DNSSEC aktiveres der, hvor dine DNS-records faktisk bor.
• Din DNS-udbyder understøtter ikke DNSSEC? Det er gængs med ældre eller budget-hosts. Det rene fix er at flytte DNS-administration til en udbyder der gør det (Cloudflare er gratis), derefter følge den enkle vej ovenfor.

Verificér at det virkede:

• Kør dig DS ditdomæne.com og dig DNSKEY ditdomæne.com — begge bør returnere records.
• Eller brug et gratis online DNSSEC-tjekværktøj og bekræft en grøn/gyldig tillids-kæde.
• Betragter det ikke som gjort, inden begge returnerer matchende records.

Almindelige fejl

• At publicere DS inden nøglen eksisterer. Den mest skadelige enkeltfejl: at tilføje DS-recorden hos registraren inden signering faktisk er live hos DNS-udbyderen. Det skaber “publiceret segl, manglende nøgle”-tilstanden der gør dit domæne uopløseligt for DNSSEC-tjekkende besøgende.
• At efterlade en forældet DS efter skift af udbyder. Migrerer du DNS-udbydere (eller deaktiverer signering) men glemmer at fjerne eller opdatere den gamle DS-record hos registraren, peger du på en nøgle der ikke længere eksisterer.
• At stoppe efter trin ét. At aktivere signering hos DNS-udbyderen (oprette DNSKEY) men aldrig tilføje DS hos registraren. Alt ser “til” ud i DNS-dashboardet, men med ingen DS aktiveres beskyttelsen aldrig.
• At antage, at HTTPS eller e-mail-godkendelse allerede dækker det. Hængelåsen og e-mail-godkendelse (SPF / DKIM / DMARC) er værdifulde men løser forskellige problemer. Ingen af dem stopper et forfalsket DNS-svar fra at sende besøgende det forkerte sted hen.
• At ikke overvåge efter aktivering. Nøgler rulles, udbydere skiftes, records redigeres. En opsætning der er perfekt i dag kan stille gå i stykker måneder senere.

Hvor dette sidder i din karakter

Begge tjek tæller mod din DNS-sikkerhedsscore. DS-record-tjekket behandles som det højest-prioriterede af de to: en manglende DS er et reelt hul og scores som en fejl. DNSKEY-tjekket bekræfter, at resten af kæden er intakt — det består kun, når en matchende DS og DNSKEY begge er til stede, og det flagger den farlige “DS-uden-nøgle”-brudte tilstand som høj alvorlighed. Et rent “DNSSEC er simpelthen endnu ikke aktiveret”-resultat er udgangspunktet for mange virksomheder; at bevæge sig derfra til et komplet, matchende DS + DNSKEY-par er en gratis, velforstået opgradering der forbedrer din DNS-sikkerhedsstatus og fjerner en genuin vej for efterligning og aflytning.

Konfigurer det hos din udbyder

Trin for trin hos populære udbydere:

• Konfigurer DNSSEC hos GoDaddy
• Konfigurer DNSSEC hos Namecheap
• Konfigurer DNSSEC hos Cloudflare
• Konfigurer DNSSEC hos AWS Route 53

FAQ