DNSSEC (Domain Name System Security Extensions) er en sikkerhedsforbedring til domæner, som beskytter mod manipulation af dine DNS-data. Med DNSSEC kan besøgende få bekræftet, at de DNS-oplysninger, de får om dit domæne, faktisk er ægte og ikke er blevet ændret undervejs.
Kort sagt gør DNSSEC det meget sværere for hackere at omdirigere din trafik til en falsk hjemmeside.
Hvis du har et webhotel hos os, kan du oprette DNSSEC-nøgler via cPanel > Domains > Zone Editor > DNSSEC. Klik på “Create Key” for at komme i gang.
Når du trykker “Create” uden yderligere ændringer, vil systemet automatisk oprette:
Denne standardopsætning passer fint til de fleste brugere og fungerer hos langt de fleste domæneregistre.
Hvis du vælger “Customize”, kan du selv bestemme flere detaljer såsom:
Dette giver mere fleksibilitet, men kræver også, at du ved, hvad du laver. Hvis du er i tvivl, anbefaler vi at bruge standardindstillingerne.
Hvis din DNS bliver hostet hos en anden udbyder end os, skal du først oprette DNSSEC-nøgler dér og få deres DS-poster, inden du kan konfigurere DNSSEC i vores system.
Du kan skifte DNSSEC-opsætning direkte via Kundesiden > Domæner > Mine domæner > Find domæne > Administrer > Administrer DNSSEC.
Her kan du indtaste:
Når du indtaster disse oplysninger, bliver de gemt og sendt videre til domæneregistret, så DNSSEC fungerer korrekt.
Bemærk: Det anbefales ikke at bruge Digest Type 1 (SHA-1), da den anses for forældet og usikker. Brug i stedet SHA-256 eller nyere, hvis det er muligt.
Husk også at deaktivere eventuelle gamle nøgler, efter de nye er valideret og propagationen er gennemført, så der ikke opstår konflikter.
Af sikkerhedsmæssige grunde bør du rotere dine DNSSEC-nøgler jævnligt, typisk én gang om året eller efter din virksomheds sikkerhedspolitik. Rotation betyder, at du opretter nye nøgler og registrerer de nye oplysninger hos domæneregistret, så gamle nøgler ikke kan misbruges.
Den typiske procedure er at oprette et nyt sæt nøgler og aktivere dem sideløbende med de eksisterende. Efter 24–48 timers propagation kan du så slette de gamle nøgler og deres DS-poster.
Efter du har sat DNSSEC op, anbefaler vi, at du tester, at alt virker korrekt. Brug fx disse værktøjer til at kontrollere konfigurationen og opdage fejl:
Disse værktøjer kan hjælpe dig med at bekræfte, at dine DS-poster er korrekt registreret og at signaturerne valideres.
Hvis du på et tidspunkt ændrer domænets navneservere, skal du være ekstra opmærksom på også at opdatere DNSSEC-opsætningen. Nye navneservere skal kende til dine DNSSEC-nøgler, ellers vil valideringen fejle, og dit domæne kan blive utilgængeligt, indtil opsætningen er justeret korrekt.
dnssec
