Defaults.Exposed › Raportit
Mitä DNSSEC on – ja tarvitsetko sitä oikeasti? (2026)
Julkaistu 2026-07-01
Luvut tilanteesta 2026-06-29 · menetelmä v7. Yhdistettyä kartoitusdataa 261 miljoonasta arvostellusta verkkotunnuksesta. DNSSEC lisää DNS-tietoihin kryptografiset allekirjoitukset, joiden avulla nimipalvelin voi todistaa, että vastaus tuli todella sinulta eikä sitä ole peukaloitu. Katso miten arvostelemme.
DNSSEC leimaa jokaisen verkkotunnuksesi DNS-vastauksen allekirjoituksella, jotta hyökkääjä ei voi huomaamatta vaihtaa tilalle väärennettyä ja ohjata kävijöitäsi muualle. Se on yksi verkon vähiten käyttöönotetuista suojauksista: vain 1.99 % niistä 261 miljoonasta verkkotunnuksesta käyttää kelvollista allekirjoitettua ketjua. Se on myös yksi harvoista, joissa virheellinen määritys on huonompi kuin ei mitään – 3.02 % verkkotunnuksista on allekirjoitettu mutta rikki, mikä voi tehdä niistä tavoittamattomia. Tässä kerrotaan, mitä se tekee ja tarvitsetko sitä.
Miltä DNSSEC oikeasti suojaa
Tavallisella DNS:llä ei ole mitään keinoa todistaa, että vastaus on aito. Se avaa oven välimuistin myrkytykselle ja reitin varrella tapahtuvalle DNS-huijaukselle – hyökkääjä syöttää nimipalvelimelle väärennetyn tietueen ja ohjaa kävijäsi tai sähköpostisi omalle palvelimelleen ilman varmennevaroitusta, joka paljastaisi asian. DNSSEC sulkee tämän aukon allekirjoittamalla tietueet, jolloin validoiva nimipalvelin hylkää kaiken, mikä ei mene läpi.
Mitä se ei tee: se ei salaa DNS:ää, ei suojaa itse verkkosivustoa eikä korvaa HTTPS:ää, DMARC:ia tai CAA:ta. Se on yksi kerros – DNS-vastausten eheys.
Käyttöönoton tilannekuva
- 1.99 % allekirjoitettu ja kelvollinen.
- 3.02 % allekirjoitettu mutta rikki – allekirjoitus, joka ei mene validoinnista läpi ja voi pudottaa verkkotunnuksen kaikilta, jotka käyttävät validoivaa nimipalvelinta. Juuri tämä riski saa ihmiset varovaisiksi.
- Kun rekisteri aktiivisesti edistää sitä, käyttöaste on paljon korkeampi: rekisterin ohjaamat maapäätteet yltävät 9.1 %:iin kelvollisia, kun muissa maapäätteissä osuus on 1.3 %. Käyttöönotto on politiikkakysymys, ei tekninen rajoite. Katso toimiiko pakollinen DNSSEC ja DNSSEC-paradoksi.
Verkkotunnuksen päätteen mukaan kelvollisen DNSSEC:n osuus vaihtelee suuresti: 18.38 % .se-päätteessä, 11.86 % .nl-päätteessä, 14.62 % .cz-päätteessä – kun .com-päätteessä osuus on vain 1.62 %.
Tarvitsetko sitä?
- Arvokkaammat tai kohdennetut verkkotunnukset – pankit, valtionhallinto, infrastruktuuri ja kaikki, missä käyttäjien tai sähköpostin ohjaaminen muualle on merkittävä palkinto – hyötyvät eniten.
- Vaatimustenmukaisuutta noudattavat organisaatiot – DNSSEC esiintyy yhä useammin tietoturvakyselyissä ja joidenkin toimialojen säännöissä.
- Kaikki muut – se on järkevä kovennuskeino, jos DNS-palveluntarjoajasi hoitaa sen yhdellä klikkauksella ja huolehtii avainten vaihdosta puolestasi. Jos käyttöönotto tarkoittaa avainten käsin hallintaa, jonka voit tehdä väärin, rikkinäisen allekirjoituksen riski on todellinen – ota se käyttöön siellä, missä se on automatisoitu.
Miten sen ottaa turvallisesti käyttöön
- Käytä DNS-palveluntarjoajaa, joka automatisoi DNSSEC:n – allekirjoitus ja avainten vaihto hoidetaan puolestasi (useimmat suuret palveluntarjoajat tekevät tämän nykyään yhdellä klikkauksella). Katso korjaa DNSSEC.
- Ota allekirjoitus käyttöön ja julkaise sen jälkeen DS-tietue rekisteröijälläsi luottamusketjun täydentämiseksi.
- Varmista, että ketju ratkeaa ennen kuin poistut – allekirjoitettu mutta rikki oleva verkkotunnus on huonompi kuin allekirjoittamaton.
- Älä koskaan hallitse avaimia käsin, ellei sinulla ole työkaluja niiden luotettavaan kiertoon.
Usein kysytyt kysymykset
Mitä DNSSEC on yksinkertaisesti sanottuna? Se on joukko digitaalisia allekirjoituksia DNS-tietueissasi, joiden avulla nimipalvelimet voivat todistaa, että vastaus on aito eikä sitä ole väärennetty siirron aikana.
Tarvitsenko DNSSEC:tä oikeasti? Se on arvokkain kohdennetuille verkkotunnuksille ja tilanteissa, joissa vaatimustenmukaisuus sitä edellyttää. Kaikille muille se on hyvä kovennuskeino, jos DNS-palveluntarjoajasi automatisoi sen – suurin riski on virheellinen määritys, joka on tällä hetkellä 3.02 %:lla verkkotunnuksista.
Salaako DNSSEC DNS-liikenteeni? Ei. Se todistaa eheyden (vastaus on aito), mutta ei piilota kyselyä. Se on eri tekniikka (DoH/DoT).
Voiko DNSSEC rikkoa verkkosivustoni? Rikkinäinen tai vanhentunut allekirjoitus voi tehdä verkkotunnuksestasi ratkeamattoman kaikille, jotka käyttävät validoivaa nimipalvelinta. Juuri siksi automatisoitu allekirjoitus ja avainten vaihto ovat tärkeitä.
Onko DNSSEC ilmainen? Kyllä, useimmilla nykyaikaisilla DNS-palveluntarjoajilla – se on asetus, ei ostos.
Tarkista verkkotunnuksesi DNSSEC ilmaiseksi
Katso, onko verkkotunnuksesi allekirjoitettu, kelvollinen ja oikein ketjutettu – yksityisesti ja vain omistajalle.
Tarkista verkkotunnuksesi → · Korjaa DNSSEC → · Toimiiko pakollinen DNSSEC? → · Miten arvostelemme → · Vain yhdistettyä dataa. Tiedot tallennetaan ja käsitellään EU:ssa.