Nimipalvelun tietoturvalaajennus DNSSEC

DNSSEC (Domain Name System Security Extensions) on nimipalvelun tietoturvaa parantava palvelu, joka voidaan ottaa käyttöön myös fi-verkkotunnukselle.

Nimipalvelussa jokaiselle verkkotunnukselle on annettu oma ainutlaatuinen IP-osoite (esim. 87.239.124.120). DNSSEC on nimipalvelujärjestelmän laajennus, joka varmistaa nimipalvelimelta saatavien tietojen luotettavan alkuperän ja eheyden.

Kun DNSSEC-tietoturvalaajennus on käytössä fi-verkkotunnuksella, saadaan vastaukset nimipalvelukyselyihin digitaalisesti allekirjoitettuina. DNSSEC varmistaa, että nimipalvelukyselyihin saadut vastaukset tulevat oikealta lähettäjältä eikä vastaustietoja ole muokattu. Näin kyseiseen verkkotunnukseen virallisesti liitetyllä verkkosivulla vierailevat pääsevät juuri sille verkkosivulle, jolle heillä oli aikomus mennä.

Testaa, onko käyttämälläsi resolverinimipalvelimella DNSSEC-validointi käytössä.


Negatiivinen tulos tarkoittaa sitä, että vaikka verkkotunnuksella olisikin DNSSEC käytössä, ei internetoperaattori tarkista DNSSEC-luottamusketjun eheyttä ennen kuin palauttaa vastauksen (esimerkiksi verkkosivun IP-osoitteen).

Positiivinen tulos tarkoittaa sitä, että DNSSEC-validointi on käytössä eli luottamusketju on tarkistettu.

Tietoturvalaajennuksen tarjoaminen asiakkaalle

Verkkotunnusvälittäjä voi ottaa DNSSEC-palvelun käyttöön allekirjoittamalla verkkotunnuksen tiedot, minkä jälkeen välittäjä voi lisätä verkkotunnukselle DS-tietueet. DS-tietueita voi hallinnoida sekä EPP-rajapinnan että selainkäyttöliittymän kautta. Avainten vaihdon voi automatisoida EPP-rajapinnan avulla.

Digitaalisen allekirjoituksen luomiseen tarvitaan

  • yksityinen avain, joka on salainen ja ainoastaan omistajan hallussa sekä
  • julkinen avain, joka julkaistaan nimipalvelussa omassa tietueessaan.

Allekirjoitus voidaan varmentaa yksityistä avainta vastaavalla julkisella avaimella. Resolveri tekee validoinnin käyttäjän puolesta.

Fi-vyöhykkeen julkiset avaimet julkaistaan juurivyöhykkeessä. Resolvoivia nimipalvelimia ylläpitävien välittäjien suositellaan määrittelevän juurivyöhykkeen luottamusankkuri nimipalvelimilleen. Luottamusankkuri löytyy IANA:n DNSSEC -sivuilta.

Havainnollistava kuvaus DNSSECin toiminnasta löytyy Viestintäviraston DNSSEC-esitteestä [pdf, 392 KB]

Fi-vyöhykkeen DNSSEC-allekirjoittamisessa käytettävät parametrit

  • tiivistefunktio: SHA-256
  • allekirjoitusalgoritmi: RSA
  • NSEC3
  • Opt-Out
  • Zone Signing Key (ZSK): RSA 1024-bit
  • Key Signing Key (KSK): RSA 2048-bit.

KSK-avaimella allekirjoitetaan ainoastaan vyöhykkeen DNSKEY-tietueryhmä. ZSK-avaimella allekirjoitetaan vyöhykkeen muut nimipalvelutietueet, kuten allekirjoitettujen alivyöhykkeiden DS-tietueet sekä Fi-vyöhykkeen autoratiiviset tietueet. ZSK-avaimen elinikä on yksi kuukausi ja KSK-avaimen elinikä on yksi vuosi.

Lisätiedot:

Lisätietoa DNSSEC-tietoturvalaajennuksesta: fi-domain-tech(at)ficora.fi

Asiasanat: Internet , DNSSEC , Fi-juuri , Kyberturvallisuus , Nimipalvelimet , Verkkotunnukset , Välittäjä

LinkedIn Print