Ja, vi understøtter DNSSEC for de fleste domæner, hvor dette er tilgængeligt, f.eks.
.no ,
.com ,
.se og
.dk. DNSSEC er desværre ikke tilgængelig for
.as- domæner.
DNSSEC er en standard designet til at gøre domænenavnsopslag mere sikre og robuste mod angreb. DNSSEC beskytter mod en række kendte svagheder i DNS-protokollen, bl.a "DNS-spoofing" eller "cache-forgiftning". For mere information om, hvad DNSSEC er, hvordan det virker, og hvorfor det er en god idé at have det slået til for dine domænenavne, se f.eks. Wikipedia eller Norids informationsvideo om DNSSEC .
Bruger du Domæneshops navneservere, er opsætningen af DNSSEC fuldautomatisk. Alt du skal gøre er at markere boksen i kontrolpanelet, som du vil have DNSSEC slået til. Bruger du derimod dine egne navneservere, skal du selv klare nøglegenerering, nøglerulning og zonesignering og opdatere DNSSEC-data manuelt via kontrolpanelet, hver gang du skifter nøgle.
DNSSEC er slået til som standard for alle domæner, der benytter Domæneshops navneservere. For manuelt at slå DNSSEC til/fra for et domæne skal du gøre følgende:
- Log ind under "Min konto" på www.domaeneshop.dk/login
- Klik på "Mine domæner"
- Klik på det relevante domæne
- Klik på fanen "Navneservere" øverst på siden
- Marker (eller fjern markeringen) afkrydsningsfeltet "Brug DNSSEC".
- Klik på knappen "Skift".
For at drage fordel af den ekstra sikkerhed, som DNSSEC giver på din egen computer, skal du konfigurere den til at bruge et sæt navneservere, der udfører DNSSEC-validering. I øjeblikket er det ikke alle norske internetudbydere, der har slået DNSSEC-validering til på deres navneservere. Du kan selv kontrollere, om du har slået DNSSEC til eller ej, ved at gå til:
Hvis du ikke kan oprette forbindelse til denne side, er DNSSEC-validering korrekt slået til for din computer. Hvis det lykkes dig at oprette forbindelse til denne side, er DNSSEC enten slået fra eller forkert konfigureret, og du bør kontakte din internetadgangsudbyder og bede dem om at slå DNSSEC-validering til. Alternativt kan du bruge navneserverne fra Cloudflare (1.1.1.1) eller Google (8.8.8.8) , som begge udfører korrekt DNSSEC-validering.
For at undgå nedetid på et domæne i forbindelse med skift af navneservere, anbefaler vi, at du slår DNSSEC fra mindst 24 timer før skift af navneserver, og venter mindst 24 timer efter navneservere er blevet ændret, før du eventuelt slår DNSSEC til igen. Dette forhindrer klienter, der har cachelagret de gamle DS-poster for domænet, i at kunne validere DNSSEC-signaturerne, hvis de nye navneservere bruger andre DNSSEC-nøgler end de gamle.
For at debugge eventuelle DNSSEC-problemer eller blot kontrollere, at navneserverne for et domæne er konfigureret korrekt, kan vi anbefale følgende værktøjer:
For de teknisk interesserede kan vi oplyse, at Domæneshop signerer alle DNSSEC-zoner ved hjælp af algoritme 13 (ECDSA P-256) eller 15 ( Ed25519 ) med NSEC3. Signaturerne har en levetid på 30 dage, og nøglerne rulles hver 3. måned (ZSK) og 12. måned (KSK). Det er ikke muligt at angive individuelle parametre eller algoritmer ved brug af DNSSEC på Domæneshops navneservere.