Defaults.Exposed

Defaults.Exposed › Raportit

Mitä DNSSEC on – ja tarvitsetko sitä oikeasti? (2026)

Julkaistu 2026-07-01

Luvut tilanteesta 2026-06-29 · menetelmä v7. Yhdistettyä kartoitusdataa 261 miljoonasta arvostellusta verkkotunnuksesta. DNSSEC lisää DNS-tietoihin kryptografiset allekirjoitukset, joiden avulla nimipalvelin voi todistaa, että vastaus tuli todella sinulta eikä sitä ole peukaloitu. Katso miten arvostelemme.

DNSSEC leimaa jokaisen verkkotunnuksesi DNS-vastauksen allekirjoituksella, jotta hyökkääjä ei voi huomaamatta vaihtaa tilalle väärennettyä ja ohjata kävijöitäsi muualle. Se on yksi verkon vähiten käyttöönotetuista suojauksista: vain 1.99 % niistä 261 miljoonasta verkkotunnuksesta käyttää kelvollista allekirjoitettua ketjua. Se on myös yksi harvoista, joissa virheellinen määritys on huonompi kuin ei mitään – 3.02 % verkkotunnuksista on allekirjoitettu mutta rikki, mikä voi tehdä niistä tavoittamattomia. Tässä kerrotaan, mitä se tekee ja tarvitsetko sitä.

Miltä DNSSEC oikeasti suojaa

Tavallisella DNS:llä ei ole mitään keinoa todistaa, että vastaus on aito. Se avaa oven välimuistin myrkytykselle ja reitin varrella tapahtuvalle DNS-huijaukselle – hyökkääjä syöttää nimipalvelimelle väärennetyn tietueen ja ohjaa kävijäsi tai sähköpostisi omalle palvelimelleen ilman varmennevaroitusta, joka paljastaisi asian. DNSSEC sulkee tämän aukon allekirjoittamalla tietueet, jolloin validoiva nimipalvelin hylkää kaiken, mikä ei mene läpi.

Mitä se ei tee: se ei salaa DNS:ää, ei suojaa itse verkkosivustoa eikä korvaa HTTPS:ää, DMARC:ia tai CAA:ta. Se on yksi kerros – DNS-vastausten eheys.

Käyttöönoton tilannekuva

Verkkotunnuksen päätteen mukaan kelvollisen DNSSEC:n osuus vaihtelee suuresti: 18.38 % .se-päätteessä, 11.86 % .nl-päätteessä, 14.62 % .cz-päätteessä – kun .com-päätteessä osuus on vain 1.62 %.

Tarvitsetko sitä?

Miten sen ottaa turvallisesti käyttöön

  1. Käytä DNS-palveluntarjoajaa, joka automatisoi DNSSEC:n – allekirjoitus ja avainten vaihto hoidetaan puolestasi (useimmat suuret palveluntarjoajat tekevät tämän nykyään yhdellä klikkauksella). Katso korjaa DNSSEC.
  2. Ota allekirjoitus käyttöön ja julkaise sen jälkeen DS-tietue rekisteröijälläsi luottamusketjun täydentämiseksi.
  3. Varmista, että ketju ratkeaa ennen kuin poistut – allekirjoitettu mutta rikki oleva verkkotunnus on huonompi kuin allekirjoittamaton.
  4. Älä koskaan hallitse avaimia käsin, ellei sinulla ole työkaluja niiden luotettavaan kiertoon.

Usein kysytyt kysymykset

Mitä DNSSEC on yksinkertaisesti sanottuna? Se on joukko digitaalisia allekirjoituksia DNS-tietueissasi, joiden avulla nimipalvelimet voivat todistaa, että vastaus on aito eikä sitä ole väärennetty siirron aikana.

Tarvitsenko DNSSEC:tä oikeasti? Se on arvokkain kohdennetuille verkkotunnuksille ja tilanteissa, joissa vaatimustenmukaisuus sitä edellyttää. Kaikille muille se on hyvä kovennuskeino, jos DNS-palveluntarjoajasi automatisoi sen – suurin riski on virheellinen määritys, joka on tällä hetkellä 3.02 %:lla verkkotunnuksista.

Salaako DNSSEC DNS-liikenteeni? Ei. Se todistaa eheyden (vastaus on aito), mutta ei piilota kyselyä. Se on eri tekniikka (DoH/DoT).

Voiko DNSSEC rikkoa verkkosivustoni? Rikkinäinen tai vanhentunut allekirjoitus voi tehdä verkkotunnuksestasi ratkeamattoman kaikille, jotka käyttävät validoivaa nimipalvelinta. Juuri siksi automatisoitu allekirjoitus ja avainten vaihto ovat tärkeitä.

Onko DNSSEC ilmainen? Kyllä, useimmilla nykyaikaisilla DNS-palveluntarjoajilla – se on asetus, ei ostos.

Tarkista verkkotunnuksesi DNSSEC ilmaiseksi

Katso, onko verkkotunnuksesi allekirjoitettu, kelvollinen ja oikein ketjutettu – yksityisesti ja vain omistajalle.

Tarkista verkkotunnuksesi → · Korjaa DNSSEC → · Toimiiko pakollinen DNSSEC? → · Miten arvostelemme → · Vain yhdistettyä dataa. Tiedot tallennetaan ja käsitellään EU:ssa.