Spørgsmål og svar

Tilbage
Støtter I DNSSEC?
Ja, vi støtter DNSSEC for de flæste domæner der dette er tilgængelig, bl.a. .no, .com, .se og .dk.

DNSSEC er en standard, der er udviklet for at gøre domænenavnoppslag sikrere og mere robuste mod angrep. DNSSEC beskytter mod en række kendte svakheder i DNS-protokollen, bl.a. "DNS spoofing" eller "cache poisoning". For mere information om hvad DNSSEC er, hvordan det fungerer, og hvorfor det er en god idé at have det påskrudd for sine domænenavn, se f.ex. Wikipedia eller Norids informationsvideo om DNSSEC.

Hvis du benytter Domæneshops navneservere, så er opsætning af DNSSEC helautomatisert. Alt du trenger at gøre er at krydse af i kontrolpanelet at du ønsker DNSSEC påskrudd. Hvis du derimot bruger egne navneservere, skal du selv håndtere nøglegenerering, nøgleruldering og sonesignering, og opdatere DNSSEC-data manuelt via kontrolpanelet hver gang du bytter nøkler.

DNSSEC er påskrudd som standard for alle domæner som bruger Domæneshops navneservere. For at skru af/på DNSSEC manuelt for et domæne, gør følgende:

  1. Log på under "Min konto" på www.domaeneshop.dk/login
  2. Klik på "Mine domæner"
  3. Klik på det aktuelle domænet
  4. Klik på fanen "Navneservere" på topen af siden
  5. Kryds af (eller fjern krydset) i tjekkboksen "Brug DNSSEC"
  6. Klik på "Ændre"-knappen

For at kunde utnytte fordelene med den ekstra sikkerheden som DNSSEC giver på din egen datamaskin, skal du konfigurere den til at bruge et set med navneservere som udfører DNSSEC-validering. Foreløbig er det bare et fåtall norske Internet aksess-udbyderer som har skrudd på DNSSEC-validering på sine navneservere. Du må tjekke selv om du har DNSSEC påskrudd eller ikke ved at gå ind på:

Hvis du IKKE klarer at koble til denne siden, så er DNSSEC korrekt påskrudd for din datamaskin. Hvis du klarer at koble til denne siden, så er DNSSEC enten avskrudd eller fejlkonfigurert, og du bør kontakte din Internet aksessudbyder og be dem skru på DNSSEC-validering. Alternativt må du bruge Googles navneservere i stedet.

For at undgå nedetid på et domæne i forbindelse med ændring af navneservere, anbefaler vi at man skrur af DNSSEC mindst 24 timer før man ændrer navneservere, og venter mindst 24 timer efter at navneserverne er ændret før man eventuelt skrur på DNSSEC igen. Da undgår man at klienter som har cached de gamle DS-postene for domænet ikke klarer at validere DNSSEC-signaturene, fordi de nye navneserverne bruger andre DNSSEC-nøkler end de gamle.

For de teknisk interesserte må vi opplyse om at Domæneshop signerer alle DNSSEC-soner ved hjælp af algoritme 13 (ECDSAP256SHA256) med NSEC3. Signaturene har en levetid på 30 dage, og nøglerne rulderes hver 3. måned (ZSK) og 12. måned (KSK). Det er ikke mulig at specificere individuelle parametere eller algoritmer når man benytter DNSSEC på Domæneshops navneservere.

Søgeord:  

Indholdsfortegnelse

© 2019 Domeneshop AS · Om os · Vilkår · Fortrolighedspolitik