Defaults.Exposed

Defaults.Exposed › Rapporter

Hva er DNSSEC – og trenger du det egentlig? (2026)

Publisert 2026-07-01

Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata på tvers av 261 millioner graderte domener. DNSSEC legger kryptografiske signaturer til DNS slik at en resolver kan bevise at et svar virkelig kom fra deg og ikke er blitt tuklet med. Se hvordan vi graderer.

DNSSEC stempler hvert DNS-svar for domenet ditt med en signatur, slik at en angriper ikke stille kan bytte inn et falskt svar og sende de besøkende dine et helt annet sted. Det er en av de minst utbredte kontrollene på nettet: bare 1.99 % av 261 millioner domener har en gyldig signert kjede. Det er også en av de få der en dårlig konfigurasjon er verre enn ingen – 3.02 % av domenene er signert, men ødelagt, noe som kan gjøre dem utilgjengelige. Her er hva det gjør, og om du trenger det.

Hva DNSSEC faktisk beskytter mot

Vanlig DNS har ingen måte å bevise at et svar er ekte på. Det åpner døren for cache-forgiftning og DNS-spoofing på veien – en angriper mater en resolver med en forfalsket oppføring og peker de besøkende dine, eller e-posten din, mot sin egen server, uten noen sertifikatadvarsel som avslører det. DNSSEC lukker dette gapet ved å signere oppføringene, slik at en validerende resolver avviser alt som ikke lar seg verifisere.

Det det ikke gjør: det krypterer ikke DNS, sikrer ikke selve nettstedet, og erstatter ikke HTTPS, DMARC eller CAA. Det er ett lag – integritet for DNS-svar.

Utbredelsesbildet

Etter domeneendelse varierer gyldig DNSSEC mye: 18.38 % på .se, 11.86 % på .nl, 14.62 % på .cz – mot bare 1.62 % på .com.

Trenger du det?

Hvordan du slår det på trygt

  1. Bruk en DNS-leverandør som automatiserer DNSSEC – signering og nøkkelrullering håndteres for deg (de fleste større leverandører gjør nå dette med ett klikk). Se fiks DNSSEC.
  2. Aktiver signering, og publiser deretter DS-oppføringen hos registraren din for å fullføre tillitskjeden.
  3. Valider at kjeden lar seg slå opp før du går videre – et signert-men-ødelagt domene er verre enn et usignert.
  4. Håndter aldri nøkler manuelt med mindre du har verktøyene til å rotere dem pålitelig.

Ofte stilte spørsmål

Hva er DNSSEC enkelt forklart? Det er et sett med digitale signaturer på DNS-oppføringene dine slik at resolvere kan bevise at svaret er ekte og ikke ble forfalsket underveis.

Trenger jeg virkelig DNSSEC? Det er mest verdifullt for høyrisikodomener og der etterlevelse krever det. For alle andre er det et godt herdingstiltak hvis DNS-leverandøren din automatiserer det – hovedrisikoen er en feilkonfigurasjon, som 3.02 % av domenene for øyeblikket har.

Krypterer DNSSEC DNS-en min? Nei. Det beviser integritet (at svaret er autentisk), men skjuler ikke forespørselen. Det er en annen teknologi (DoH/DoT).

Kan DNSSEC ødelegge nettstedet mitt? En ødelagt eller utløpt signatur kan gjøre domenet ditt uoppslåelig for alle som bruker en validerende resolver. Det er derfor automatisert signering og nøkkelrullering er viktig.

Er DNSSEC gratis? Ja hos de fleste moderne DNS-leverandører – det er en innstilling, ikke et kjøp.

Sjekk domenets DNSSEC gratis

Se om domenet ditt er signert, gyldig og korrekt kjedet – privat, og kun for eieren.

Sjekk domenet ditt → · Fiks DNSSEC → · Virker obligatorisk DNSSEC? → · Hvordan vi graderer → · Kun aggregerte data. Data lagres og behandles i EU.