Ja, vi stödjer DNSSEC för de flesta domäner där detta är tillgängligt, t.ex.
.no ,
.com ,
.se och
.dk. DNSSEC är tyvärr inte tillgängligt för
.as- domäner.
DNSSEC är en standard utformad för att göra domännamnssökningar säkrare och robustare mot attacker. DNSSEC skyddar mot ett antal kända svagheter i DNS-protokollet, inklusive "DNS-spoofing" eller "cacheförgiftning". För mer information om vad DNSSEC är, hur det fungerar och varför det är en bra idé att ha det påslaget för dina domännamn, se t.ex. Wikipedia eller Norids informationsvideo om DNSSEC .
Om du använder Domänshops namnservrar är inställningen av DNSSEC helt automatiserad. Allt du behöver göra är att markera rutan i kontrollpanelen som du vill att DNSSEC ska aktiveras. Om du däremot använder dina egna namnservrar måste du själv sköta nyckelgenerering, nyckelrullning och zonsignering samt uppdatera DNSSEC-data manuellt via kontrollpanelen varje gång du byter nycklar.
DNSSEC är aktiverat som standard för alla domäner som använder Domänshops namnservrar. För att manuellt slå på/av DNSSEC för en domän, gör följande:
- Logga in under "Mitt konto" på www.domanshop.se/login
- Klicka på "Mina domäner"
- Klicka på relevant domän
- Klicka på fliken "Namnservrar" längst upp på sidan
- Markera (eller avmarkera) kryssrutan "Använd DNSSEC".
- Klicka på knappen "Ändra".
För att dra fördel av den extra säkerhet som DNSSEC ger på din egen dator, måste du konfigurera den för att använda en uppsättning namnservrar som utför DNSSEC-validering. För närvarande har inte alla norska internetleverantörer aktiverat DNSSEC-validering på sina namnservrar. Du kan själv kontrollera om du har aktiverat DNSSEC eller inte genom att gå till:
Om du inte kan ansluta till den här sidan är DNSSEC-validering korrekt aktiverad för din dator. Om du lyckas ansluta till den här sidan är DNSSEC antingen avstängd eller felkonfigurerad, och du bör kontakta din Internetleverantör och be dem att aktivera DNSSEC-validering. Alternativt kan du istället använda namnservrarna för Cloudflare (1.1.1.1) eller Google (8.8.8.8) , som båda utför korrekt DNSSEC-validering.
För att undvika driftstopp på en domän i samband med byte av namnservrar rekommenderar vi att du stänger av DNSSEC minst 24 timmar innan du byter namnservrar, och väntar minst 24 timmar efter att namnservrarna har ändrats innan du eventuellt slår på DNSSEC igen. Detta förhindrar klienter som har cachat de gamla DS-posterna för domänen från att kunna validera DNSSEC-signaturerna, om de nya namnservrarna använder andra DNSSEC-nycklar än de gamla.
För att felsöka eventuella DNSSEC-problem eller helt enkelt kontrollera att namnservrarna för en domän är korrekt konfigurerade kan vi rekommendera följande verktyg:
För den tekniskt intresserade kan vi meddela att Domänshop signerar alla DNSSEC-zoner med algoritm 13 (ECDSA P-256) eller 15 ( Ed25519 ) med NSEC3. Signaturerna har en livslängd på 30 dagar, och nycklarna rullas var tredje månad (ZSK) och 12 månader (KSK). Det är inte möjligt att ange enskilda parametrar eller algoritmer vid användning av DNSSEC på Domänshops namnservrar.