Frågor och svar

Tillbaka
Erbjuder ni DNSSEC?
Ja, vi erbjuder DNSSEC för flerparten av toppnivådomäner där det är tillgängligt, t.ex. .se, .com, .no och .dk.

DNSSEC är en standard som har utvecklats för att göra domänuppslag säkrare och mer robusta mot angrepp. DNSSEC skyddar mot en rad kända svagheter i DNS-protokollet, bland annat "DNS spoofing" eller "cache poisoning". För mer information om vad DNSSEC är, hur det fungerar och varför det är en god idé att ha det aktiverat på ens domäner, se på t.ex. Wikipedia.

Om du använder Domänshops namnservrar så är DNSSEC helautomatiskt. Det enda du behöver göra är att markera att du vill aktivera DNSSEC via kontrollpanelen. Om du istället använder egna namnservrar så måste du själv hantera nyckelgenerering, nyckelrotering, zonsignering och uppdatera DNSSEC-data manuellt via kontrollpanel varje gång du byter nycklar.

DNSSEC har aktiverats som standard för alla domäner som använder Domänshops namnservrar. Du kan slå av/på DNSSEC manuellt för en domän genom att göra följande:

  1. Logga på "Mitt konto" på www.domanshop.se/login
  2. Klicka på "Mina domäner"
  3. Klicka på den aktuella domänen
  4. Klicka på fliken "Namnservrar" på toppen av sidan
  5. Sätt ett kryss i (eller ta bort) rutan "Använd DNSSEC"
  6. Klicka på "Ändra"-knappen

Om du använder egna namnservrar så finns inte alternativet "Använd DNSSEC", du måste istället klicka på "Administrera DNSSEC" längst ner på sidan. Där kan du lägga till, ändra eller radera DS-poster som ska publiceras i domänens moderzon.

För att kunna utnyttja fördelarna med den extra säkerheten DNSSEC ger på din egen datamaskin, så måste du konfigurera den till att använda namnservrar som utför en DNSSEC-validering. Det är inte alla leverantörer som gör det ännu. Du kan själv kolla om dina gör det på http://0skar.cz/dns/en/. Om dom inte gör det så bör du kontakta din Internet-leverantör och be dem om att aktivera DNSSEC-validering. Som ett alternativ kan du använda Googles namnservrar istället.

För att undvika nedetid på en domän när man ska ändra namnservrar så rekommenderar vi att man slår av DNSSEC minst 24 timmar innan man ändrar namnservrar och väntar minst 24 timmar efter ändringen innan man eventuellt aktiverar DNSSEC igen. Då undviker man att klienter som har cachet domänens gamla DS-poster inte kan validera DNSSEC-signaturerna, eftersom domänens nya namnservrar använder andra DNSSEC-nycklar än dom gamla.

Om du har ett tekniskt intresse så kan vi informera om att Domänshop signerar alla DNSSEC-zoner med RSASHA256 och NSEC3 med en nyckelstorlek på 1024 bits (ZSK) och 2048 bits (KSK). Signaturen har en levetid på 30 dagar och nycklarna roteras var 3. månad (ZSK) och 12. månad (KSK). Man kan inte specifiera individuella inställningar eller algoritmer när man använder DNSSEC på Domänshops namnservrar.

Sökord:  

Innehållsförteckning

© 2019 Domeneshop AS · Om oss · Villkor · Dataskydd