Gå til toppen
Last ned dokumentet

Domenenavn er livsnerven i et moderne samfunn

1 - Toppdomener

Domenemarkedet: Spilleregler i endring?

2 - DNSSEC

Sikrere norske domenenavn med DNSSEC

Domenemarkedet: Spilleregler i endring?

Publisert: september 2016.

Det skjer grunnleggende endringer på domenemarkedet. Tusen nye toppdomener er lansert i løpet av de siste par årene, og konkurransen har dermed økt. Dette skjer samtidig som det er tegn til at den generelle veksten i etterspørselen etter domenenavn avtar, og bruk av mobile enheter og applikasjoner gjør domenenavn mindre synlige. I tilllegg er helt nye aktører med potensial for disruptive endringer kommet inn på domenemarkedet.

Etter mer enn ti år med et domenemarked med svært stabile rammer, og der antallet aktører og toppdomener ble holdt tilnærmet konstant, valgte ICANN 1 i 2012 å endre på dette. De åpnet for at alle som ønsket det kunne registrere toppdomener, forutsatt at de oppfylte de økonomiske og tekniske kravene. Målet med denne liberaliseringen av markedet var å gi kundene større valgmuligheter og å bidra til økt konkurranse og innovasjon.

Domener og toppdomener

Alle datamaskiner på internett har en egen IP-adresse, som består av en lang tallrekke. Domenenavnsystemet knytter unike domenenavn til IP-adressen.

Eksempler på domenenavn mange bruker daglig: dagbladet.no, vg.no, google.com og facebook.com.

Det siste leddet i domenenavnet – «etternavnet» – er toppdomenet som domenenavnet er registrert under. Det finnes to ulike typer, landkodetoppdomener (som .no eller .se) og generiske toppdomener (som .com eller .org).

Etter den første runden av søknader om nye toppdomener, er nå om lag 1200 på plass 2. Diskusjonene om neste runde er i gang, men det er foreløpig ikke klart når denne blir lansert.

Så hva har skjedd på domenemarkedet de siste årene? Foregår konkurransen på samme grunnlag som tidligere, eller har spillereglene for markedet endret seg? Og hva betyr dette for kundene og for andre aktører på markedet?

Sterk økning i antall konkurrenter

Så langt har endringene ført til at det nå er fem ganger så mange toppdomener som i 2012. Dette betyr økt konkurranse både for nye og etablerte aktører.

Domene: .amsterdam
.amsterdam
Nye toppdomener med geografiske betegnelser.

De fleste nye toppdomenene har tydelige, meningsbærende navn. Blant dem finner vi for eksempel generiske begreper (.top, .club, .global, .app), bynavn og andre geografiske betegnelser (.berlin og .amsterdam), navn som representerer bransjeregistreringer (.lawyer, .doctor, .ceo), interesser (.horse, .cooking), grupperinger (.mormon) og merkevarer (.statoil, .gucci, .bbc).

Domene: .horse
.horse
Nye toppdomener som representerer interesser.

For en nykommer tar det tid å innarbeide seg på dette markedet. De nye generiske toppdomenene har per juli 2016 en markedsandel på om lag 6,4 prosent 3. Enkelte toppdomener dominerer med hensyn til størrelse, både blant etablerte og nye. Verdens største toppdomene, .com, har alene en markedsandel på rundt 39 prosent 4. Den største nykommeren, .xyz, har allerede klart å etablere seg blant verdens ti største toppdomener.

Global markedsandel
Nye generiske toppdomener (6,4 %)
Etablerte generiske toppdomener (48,8 %)
Landkodetoppdomener (44,7 %)
Kilde: CENTR, DomainWire Global TLD Report, ed. 16

For mange toppdomener er imidlertid antall domeneregistreringer ikke et relevant mål på suksess. For eksempel er forretningsidéen bak .luxury å være et eksklusivt produkt for de få, noe som ikke nødvendigvis er forenlig med rask vekst. Et annet eksempel er toppdomener som ikke er registrert for vanlig videresalg, som .statoil og .bbc.

Verdens største toppdomener
.com(126,6) .tk(28,6) .cn(19,5) .de(16,1) .net(15,6) .org(10,8) .uk(10,7) .xyz(6,2) .nl(5,6) .info(5,5)
Målt i antall domener. Tall i millioner. Antall domener registrert under .tk er basert på tall fra september 2014, som er den nyeste informasjonen som er offentlig tilgjengelig. Øvrige tall er fra august 2016. (Kilde: CENTR)

Et marked i metning?

Aktørene på domenemarkedet har i flere tiår hatt stabil vekst i etterspørselen etter domener. Nå er det imidlertid tegn på at markedet er i ferd med å modnes. Den langsiktige trenden for de etablerte toppdomenene viser synkende etterspørselsvekst. Unntaket er en kortvarig økning i slutten av 2015 på grunn av at kinesiske investorer registrerte store mengder domener. Veksten er nå på vei tilbake til sitt tidligere nivå. De nye toppdomenene vokser raskere enn de etablerte 5 , men også for disse gjelder det at kinesiske investorer har kjøpt opp store mengder domener det siste året. For eksempel rapporterte .xyz i april 2016 at over 50 prosent av registreringene kom fra kinesiske kunder 6.

Vekst i det totale
antallet domener
-0,4 % 0,0 % 0,4 % 0,8 % 1,2 % Jan-13 Jan-14 Jan-15 Jan-16
Median for europeiske landkodetoppdomener
Median for etablerte generiske toppdomener
Kilde: CENTR

Hvis trenden med synkende vekst i antall nyregistreringer for de etablerte toppdomenene fortsetter, vil vi om ikke lenge få en situasjon der flere toppdomener vil oppleve nullvekst. Et mer mettet domenemarked vil igjen føre til enda sterkere konkurranse.

En mulig tilleggsforklaring på at etterspørselsveksten avtar, er at domenenavn er blitt mindre synlige. Bruken av mobile flater betyr større bruk av mobilapplikasjoner og klikkbare lenker der man ikke trenger å forholde seg til hvilket domenenavn som ligger bak. Samtidig er domenenavn en helt sentral del av infrastrukturen på internett, og det er ingen konkurrerende teknologi i sikte som kan endre dette.

Identitetsbygging fortsatt den vanligste konkurransestrategien

Alle domenenavn fungerer på samme måten rent teknisk. Det betyr at toppdomener må velge andre måter å skille seg fra konkurrentene og skape verdi for kunden på. Den vanligste strategien er å bygge en identitet for toppdomenet som i sin tur gir verdi til kunder som registrerer sine domenenavn der. Et eksempel er .com, som har en tilstrekkelig sterk merkevare til at mange foretrekker et mer komplisert og lenger .com-domene fremfor et kortere domene under et mindre kjent toppdomene. På samme måten har .no en tydelig identitet som norsk og som kvalitetsdomene; .no er det naturlige førstevalget for bedrifter og privatpersoner med tilknytning til Norge.

.no er det naturlige førstevalget for bedrifter og privatpersoner med tilknytning til Norge

Det er imidlertid ikke gjort over natta å bygge en slik identitet. Med over tusen nye aktører på vei inn, kreves det betydelige ressurser og langsiktig markedsføring bare for å synes i vrimmelen. Dette stiller store krav til inntektsgrunnlag og forretningsidé for de nye toppdomenene, og også for etablerte toppdomener som ikke hadde klart å bygge seg en tydelig identitet før nykommerne oversvømmet markedet. 7

Can .Club truly be called a successful gTLD? Certainly it has reasonable registration volumes (at time of writing 156,000 names) compared with other gTLDs. These registrations were achieved through hard work and good marketing, but at what cost? With the larger registrars retailing .CLUB domain names at below $10, the total first year revenue (excluding premium domains) will be a maximum $1.5 million even if all registrars were selling at cost. In order to obtain these hard won registrations, .CLUB has reportedly spent way over $5 million on marketing and will be spending an additional $3.5 million next year.

There is no denying the quality and quantity of the marketing efforts expended by .CLUB to date, and as a marketer I applaud the professionalism of their campaigns. However, looking at these (admittedly speculative) figures, would a financial director consider .CLUB to be a successful business at the moment?

- Andy Churley, CMO at Famous Four Media (Kilde: Laursen)

I tillegg handler identiteten til et toppdomene om mer enn ren merkevarebygging. Identiteten reflekterer også hvilket «nabolag» kundene blir en del av. Et toppdomene der en stor andel av domenene er i bruk som kundenes hjemsted på nettet, er mer attraktivt for nye kunder enn hvis flertallet av domenene ikke har noen annen funksjon enn å peke videre til andre toppdomener 8. Verdien av et godt «nabolag» blir også tydelig når enkelte sikkerhetsorganisasjoner anbefaler at bedrifter blokkerer all trafikk som leder til enkelte toppdomener fordi mer enn 90 prosent av domenene benyttes til uønsket aktivitet som spam, svindelforsøk og virusspredning. 9

Identitet er et hovedmoment i konkurransen mellom toppdomenene, men de konkurrerer selvfølgelig også på pris. For eksempel har .tk (Tokelau) bygget opp et av verdens største toppdomener gjennom å ignorere identitetsbygging og heller tilby .tk-domener gratis det første året. Hvis kunden ikke ønsker å beholde domenet, blir det overtatt av organisasjonen som driver .tk, som dermed tjener penger på å dirigere trafikken videre til reklamesider. Det nye toppdomenet med størst antall registreringer, .xyz, har også tatt sin posisjon gjennom å tilby domener gratis i oppstarten.

.tk bygget opp et av verdens største toppdomener ved å tilby domener gratis det første året
28 millioner av 326 millioner domenenavn
Kilde: Verisign 2016

Nye aktører kan påvirke spillereglene

Selv om antallet toppdomener er mangedoblet, har det så langt ikke endret signifikant på hvordan domenemarkedet virker. Som for eksempel telekommarkedet har vist, resulterer imidlertid ofte liberalisering av markeder i at spillereglene endres etter en tid. Disruptive endringer kan i prinsippet komme fra hvilken som helst aktør, men for domenemarkedet ligger kanskje det største omveltningspotensialet i aktører som Google og Amazon.

Begge er kjent for å velte om på markeder gjennom nye forretningsmodeller og ny teknologi. De har per i dag 40–50 toppdomener hver 10, og flere vil komme til etter hvert som de siste søknadene blir ferdigbehandlet. Dette er aktører som dekker mange ledd i verdikjeden, og som sitter på en rekke andre produkter som kan kobles mot domener. Det kan gi dem en mulighet til å ta full kontroll over kundeopplevelsen og skape en sømløs løsning for kunden, så lenge vedkommende bruker deres produkter. Selv om det foreløpig har vært stille rundt deres toppdomener, er det i høyeste grad relevant å følge med hvilke skritt disse aktørene tar på domenemarkedet fremover.

Konkurranse kan også komme utenfra. Den økende bruken av sosiale medier som Facebook og Instagram gir alternativer til egne nettsider og e-post. I motsetning til domenenavn, gjør denne formen for substitutt kunden fullstendig avhengig av en enkelt leverandør og vedkommendes premisser. Til gjengjeld er tjenestene gratis, de er svært enkle å ta i bruk og gir mye attraktiv ekstrafunksjonalitet, blant annet at de knytter brukerne sammen i et samfunn med andre brukere.

Hva fører endringene til?

Det har blitt mer krevende å drive toppdomene. Den økende konkurransen setter stadig større krav til at både etablerte og nye toppdomener klarer å skape reell verdi for kunden, enten det er gjennom toppdomenets identitet eller ved ekstratjenester. Konkurransen vil også kreve sine ofre. Toppdomenet .doosan var det første nye generiske toppdomene som ble avviklet, og det blir neppe det siste 11.

Alle toppdomener møter økende konkurranse, uavhengig av om de som driver det har som mål å skape utbytte til eiere og investorer, eller er ikke-kommersielle aktører som er satt til å utføre et samfunnsoppdrag. Norids oppdrag er å drive .no-domenet til det beste for det norske samfunnet, også i en situasjon med økende konkurranse. Det norske toppdomenet er kjent som et kvalitetsdomene, men arbeidet med å holde tritt med behovsutviklingen i samfunnet er en oppgave vi må ta på største alvor hver eneste dag.

For kundene betyr den økte konkurransen og store mengden nye aktører at de får et bredere tilbud og dermed flere valgmuligheter. For eksempel kan det å registrere domener under flere ulike toppdomener gi muligheter til profilering og markering av tilhørighet til bestemte grupper.

Utfordringen med mange valgmuligheter er at det kan være vanskelig å finne frem i vrimmelen. Ingen ønsker å etablere firmaets nye nettsted under et toppdomene som er kjent for spam og virusspredning. Samtidig er ikke dette annerledes enn i andre bransjer, der man som kunde bør sjekke omdømmet til den man bruker som leverandør for viktige tjenester.

Sikrere norske domenenavn med DNSSEC

Publisert: desember 2016. Oppdatert: september 2018

I takt med at internett blir en stadig mer kritisk del av samfunnets infrastruktur, blir det viktigere og viktigere å sikre at informasjon ikke forfalskes eller havner hos feil mottaker. DNSSEC er et viktig bidrag til sikrere kommunikasjon på nettet.

DNSSEC

Hvorfor er DNSSEC viktig?

I dagens samfunn er internett en viktig plattform for verdiskaping. Totalt ble det omsatt for over 21 milliarder kroner via nettbutikker i 20171. Tre prosent av alle norske domenenavn som har en nettside har en handlekurvfunksjon knyttet til siden2, og for mange bedrifter er nettet den primære salgskanalen. Internett er også primær kanal for kommunikasjon mellom det offentlige og innbyggere og bedrifter, for eksempel for å rapportere inn selvangivelse og arbeidsgiveravgift, og for tilgang til offentlige tjenester. I alle disse tilfellene er det svært viktig at brukerne faktisk kommer til den nettsiden de mente å nå.

Domener og toppdomener

Alle datamaskiner på internett har en egen IP-adresse, som består av en lang tallrekke. Domenenavnsystemet knytter unike domenenavn til IP-adressen.

Eksempler på domenenavn mange bruker daglig: dagbladet.no, vg.no, google.com og facebook.com.

Det siste leddet i domenenavnet – «etternavnet» – er toppdomenet som domenenavnet er registrert under. Det finnes to ulike typer, landkodetoppdomener (som .no eller .se) og generiske toppdomener (som .com eller .org).

Du kan hente opp en nettside på ulike måter: Gjennom å klikke på en lenke, fra en app, via treff fra en søkemotor, eller ved å taste inn adressen i en nettleser. I alle disse tilfellene slår du opp et domenenavn. Oppslaget setter i gang et søk etter en IP-adresse som brukes til å kontakte den maskinen som driver den tjenesten brukeren ønsker tilgang til. Opprinnelig var ikke domenenavnsystemet laget slik at det sikret at svaret på et oppslag faktisk kom fra riktig kilde. Det betyr at det er mulig for en angriper å forfalske svar og sende en bruker til en annen IP-adresse enn den som egentlig er knyttet til domenet. For eksempel kan en bruker bli sendt til et nettside som ser ut som den nettbutikken hun eller han mente å gå til, men som er et nettsted som ligger på en maskin som kontrolleres av en svindler.

Hva skjer bak kulissene når
du slår opp et domene?
1 2 3 4 5 www.bokogbrus.no 158.38.212.101 rot .no bokogbrus.no Resolver

Hvert domenenavn har et sett med maskiner som besvarer spørsmål om adresser under domenet. Disse maskinene kalles navnetjenere. Eksempel: Du skriver adressen www.bokogbrus.no i adressefeltet i nettleseren din.

En liten programsnutt i datamaskinen din tar kontakt med en egen datamaskin som er satt opp for å behandle oppslag i domenenavnsystemet, en såkalt rekursiv resolver. Denne maskinen drives ofte av internettleverandøren.
Den rekursive resolveren får i oppdrag å finne IP-adressen til www.bokogbrus.no. Den sender spørsmålet videre til en av navnetjenerne for det øverste nivået i domenenavnsystemet (kalt roten). Rotnavnetjenerne kjenner bare til nivået under seg i hierarkiet, og sender derfor tilbake en liste over navnetjenerne for toppdomenet .no.
Resolveren sender spørsmålet på nytt til en av navnetjenerne for .no. Disse kjenner også bare til nivået under seg, og sender tilbake en liste over navnetjenerne for bokogbrus.no.
Resolveren gjentar spørsmålet til en av navnetjenerne for bokogbrus.no, som svarer tilbake med IP-adressen for www.bokogbrus.no.
Resolveren sender IP-adressen til din datamaskin. Når nettleseren får adressen, kan den ta kontakt med webtjeneren som befinner seg på adressen og laste ned de nettsidene du har bedt om.

Resolveren aksepterer i utgangspunktet det første svaret den får, uten å sjekke at det kommer fra riktig kilde.

DNSSEC (DNS Security Extensions) er en sikkerhetsmekanisme som tilbyr en løsning på dette problemet. Når et domene er sikret med DNSSEC, vil alle svar på domeneoppslag være signert kryptografisk. Dette gjør det mulig å kontrollere både at svaret kommer fra riktig kilde og at det ikke er endret underveis.

Signaturen lages ved hjelp av en privat nøkkel som bare den som driver domenenavnet har tilgang til. Signaturen kontrolleres ved at maskinen som slår opp i domenenavnsystemet henter en offentlig nøkkel for domenet. Deretter kombinerer den nøkkel og signatur for å kontrollere svaret. Takket være hierarkiet i domenenavnsystemet, kan ikke en svindler komme med falske nøkler i tillegg til falske svar. Den offentlige nøkkelen til et domene er en del av en ubrutt kjede av nøkler som går god for hverandre, helt opp til det øverste nivået. For at DNSSEC skal fungere, må alle ledd være sikret med DNSSEC. En kjede er bare så sterk som det svakeste leddet.

DNSSEC løser problemet med falske svar på oppslag. Det er imidlertid viktig å være klar over at DNSSEC er en liten brikke i et stort puslespill av sikkerhetstiltak som skal til for at vi skal være trygge på nettet. DNSSEC sikrer at vi kommer til den adressen vi vil nå, ikke at innholdet på siden er trygt.

Norge i verdenstoppen med å sikre domenenavnsystemet

Norid ser på DNSSEC som en viktig sikkerhetskomponent i domenenavnsystemet, og mener teknologien bør være en standardleveranse for norske domenenavn.

Norid introduserte DNSSEC som en infrastrukturoppgradering, og det var ingen forutsetning at en domeneabonnent verken kjente til teknologien eller aktivt bestilte den for å få denne sikkerhetsoppgraderingen for sitt domene. En slik tilnærming til DNSSEC krevde imidlertid at teknologien var moden og at domeneforhandlerne (registrarene) gjorde en innsats. Norid kunne legge til rette for å ta DNSSEC i bruk, men det var forhandlerne som måtte gjøre jobben med å signere og vedlikeholde domenene for sine kunder.

Noen viktige DNSSEC-milepæler

2007: .se er det første toppdomenet i verden som åpner for å ta i bruk DNSSEC til å sikre sine domener. Fordi det øverste nivået i domenenavnsystemet ikke er sikret, må .se lage en midlertidig løsning for å kompensere for dette.

2010: Det øverste nivået i domenenavnsystemet sikres med DNSSEC.

2014: Støtte for teknologien er utbredt i de mest brukte programvarene for oppslag i domenenavnsystemet. DNSSEC tas i bruk for norske domenenavn.

Til tross for at teknologien er avansert og at det er lite slingringsmonn for feil, var mange av forhandlerne kjapt på banen. I mai 2015, et halvt år etter at Norid introduserte teknologien, var det norske toppdomenet i verdenstoppen i andelen sikrede domener, og der har vi ligget siden 3. Per 1. september 2018 er 439 109 .no-domener signert med DNSSEC 4, noe som utgjør 57,9 prosent av alle domener under .no. Tre andre europeiske landkodetoppdomener utmerker seg med en høy andel signerte domener 5: Tsjekkia (.cz) med 52,8 prosent 6, Nederland (.nl) med 52,7 prosent 7 og Sverige (.se) med 46,6 prosent 8

Norske domener med DNSSEC
500 100 000 200 000 300 000 400 000 Jan-15 Jan-17 Aug-18 31. august 2018 439 109
Utvikling av antall norske domener som er sikret med DNSSEC (kilde: Norid)

Selv om .no har en svært høy andel sikrede domener totalt, er det store forskjeller på graden av sikring hos de ulike domeneforhandlerne. Per september 2018 tilbyr 94 av i alt 350 forhandlere som selger norske domenenavn sikring med DNSSEC. Bare 21 av disse har signert mer enn ti prosent av domeneporteføljen sin. Flertallet av de domenene som er sikret sorterer dermed under et fåtall forhandlere.

Fordeling av signerte .no-domener på forhandlerne
De ti forhandlerne med flest signerte domener står til sammen for 98,4 prosent av totalen.
Domeneshop AS (66,3 %)
One.com A/S (12,6 %)
Uniweb.no AS (7,8 %)
Digital Garden AS (6,3 %)
Syse AS (3,5 %)
ISPHuset Nordic AS (0,8 %)
Domenia Norge AS (0,4 %)
Active Data Norge (0,3 %)
Pro ISP AS (0,2 %)
NordkappNett AS (0,2 %)
Andre (1,4 %)
Kilde: Norid

Viktige domener fortsatt ikke signert

Når mer enn halvparten av alle norske domenenavn er sikret med DNSSEC, viser det at teknologien har blitt en del av standardleveransen her i landet. Likevel er bare ti prosent av de tyve mest brukte norske domenene 9 signert, hvorav ett domene er blant de ti mest brukte.

De ti mest brukte norske domenenavnene
1. google.no Ikke signert ikke signert
2. finn.no Ikke signert ikke signert
3. vg.no Ikke signert ikke signert
4. nrk.no Ikke signert ikke signert
5. dagbladet.no Ikke signert ikke signert
6. yr.no Ikke signert ikke signert
7. dnb.no Ikke signert ikke signert
8. difi.no Signert signert
9. aftenposten.no Ikke signert ikke signert
10. tv2.no Ikke signert ikke signert

(Kilde: alexa.com, Norid)

Vi ser at det offentlige henger etter når det gjelder sine domener. Under halvparten (47,3 prosent 10) av domenene som er registrert av offentlig forvaltning er signert med DNSSEC. Det er alvorlig at de statlige kategoridomenene (stat.no og dep.no) og kategoridomenet til Forsvaret (mil.no) ikke har tatt den nye teknologien i bruk. Det betyr at domener som sorterer under et av disse kategoridomenene, for eksempel nsm.stat.no, ikke kan velge økt sikkerhet med DNSSEC fordi et av leddene i kjeden over dem ikke er sikret. Samtidig er det varians også innad i offentlig forvaltning; mens bare 22 prosent av statlige domenenavn er signert har kommunene signert 54 prosent av sine domener.

Langt fremme også på validering

Den høye andelen DNSSEC-sikrede norske domener betyr at det er svært mange domeneoppslag som resulterer i signerte svar. For at dette skal sikre den enkelte bruker, må imidlertid maskinen som henter svaret på domeneoppslaget, sjekke (validere) det slik at svar med falske eller mangelfulle signaturer forkastes. Dette gjøres av spesielle maskiner – rekursive resolvere – som ofte drives av internettleverandører, hostingleverandører og tjenesteansvarlige i bedriftsinterne nett. For å kunne utnytte potensialet i DNSSEC, må dermed så mange som mulig av disse sikre sine brukere ved å slå på validering.

Graden av validering i Norge har økt sterkt etter at DNSSEC ble lansert for norske domener i 2014. Per 30. august 2018 valideres om lag 80 prosent av domeneoppslagene i Norge 11. Valideringsgraden for .no er høy på verdensbasis 12.

DNSSEC valideringsgrad per land i prosent
verdenskart
Kilde: apnic.net, data fra 30. august 2018

Den høye valideringsgraden i Norge skyldes blant annet at store aktører som Telenor Norge, Altibox, Nextgentel og Get, som til sammen dekker en relativt stor kundemasse, har slått på validering. Det er imidlertid fortsatt enkelte store internettleverandører, som Broadnet, der domeneoppslagene ikke valideres.

Nasjonal kommunikasjonsmyndighet er opptatt av å sikre at brukere av elektronisk kommunikasjon tilgang til robuste, sikre og pålitelige elektroniske kommunikasjonsnett. Validering av DNS-svar er ett av flere virkemidler for å avverge at brukere og systemer blir ledet til feil nettadresser, for eksempel ved at en svindler forfalsker svar på domeneoppslag. De fleste større toppdomener i verden har innført DNSSEC, og ICANN stiller nå krav om at alle nye generiske toppdomener skal sikres. Det er i denne sammenheng veldig gledelig at .no leder an og ligger helt i verdenstoppen for innføring av DNSSEC. Dette vil bidra ytterligere til å styrke tilliten til .no som et nasjonalt toppdomene som er verdensledende på sikkerhet og stabilitet.

Ørnulf Storm, seksjonssjef, Nasjonal kommunikasjonsmyndighet

DNSSEC og fremtiden – hva kan bygges på en sikker infrastruktur?

Den direkte effekten av DNSSEC er å sikre brukerne mot at domenenavnsystemet gir falske svar, men et sikkert domenenavnsystem fungerer også som en grunnmur som det kan bygges helt ny sikkerhetsfunksjonalitet på.

Vi er vant med at vi kan bruke e-post trygt, også på flyplasser, nettkaféer og i gjestenett, fordi maskinene våre utveksler data med e-posttjeneren over en sikker, kryptert forbindelse som ingen mellommenn kan lytte på eller endre. På samme måte ser vi etter den grønne hengelåsen og HTTPS før vi overfører data som kredittkortnummer, brukernavn og passord til en nettside vi besøker.

For at disse oppkoblingene skal være sikre, må maskinen vår autentisere at den snakker med riktig tjeneste, og utveksle den nødvendige kryptografiske informasjonen. Autentiseringen skjer stort sett ved bruk av sertifikater som er godkjent av autoriserte sertifikatutstedere.

Problemet er at det er svært mange autoriserte sertifikatutstedere, og at de tilbyr varierende sikkerhetsnivå.

Problemet er at det er svært mange autoriserte sertifikatutstedere, og at de tilbyr varierende sikkerhetsnivå. Samtidig har det manglet gode mekanismer for å fortelle brukerne hvilken utsteder som har lov til å lage sertifikater for en gitt tjeneste, eller hvilket sertifikat eller nøkkel den aktuelle tjenesten bruker. Google er en av aktørene som har opplevd problemer med dette. Det har vært flere tilfeller der det har blitt utstedt sertifikater for Googles domener som ikke har vært godkjent av Google 13. Slike uautoriserte sertifikater gjør det mulig for noen å kapre eller avlytte trafikk til tjenesten.

Domenenavnsystemet tilbyr en mulig løsning på dette. Systemets hovedoppgave er å besvare hvilke IP-adresser en tjeneste under et domene har, men systemet kan også gi enkelte typer tilleggsinformasjon, som for eksempel hvilken sertifikatutsteder som har lov til å gi ut sertifikater for en tjeneste 14. Sikring med DNSSEC gjør at brukerens maskin kan stole på denne informasjonen istedenfor å måtte godta alle autoriserte sertifikatutstedere.

Denne muligheten er særlig aktuell i Norge, siden vi både ligger langt fremme når det gjelder utbredelse av DNSSEC, og at internett i stor grad brukes til samfunnsviktige tjenester. Det offentlige har et stort antall nettbaserte tjenester for kommunikasjon med innbyggerne. Så langt er det rundt 30 prosent15 av disse nettstedene som bruker HTTPS, men Nasjonal sikkerhetsmyndighet anbefaler at alle sikres på denne måten, og at det brukes sertifikater fra utstedere som er underlagt norsk lov 16. Behovet for at offentlige nettsteder på en sikker måte kan kommunisere hvilke sertifikatutstedere de bruker, er dermed i høyeste grad til stede.

I fremtiden kan distribusjon av sikker informasjon om tjenester via domenenavnsystemet også åpne for sertifikatbruk for tjenester som i dag ikke har dette alternativet, som for eksempel e-post. Programvare for e-postkontor som tar dette i bruk er allerede satt i produksjon.

Fra teori til praksis – noen verktøy for å sjekke egen DNSSEC-sikring

Sjekk om et norsk domene er sikret med DNSSEC.
Skriv inn domenet og se om det er DNSSEC-sikret, eller skriv inn et organisasjonsnummer for å få oversikt over DNSSEC-status for alle organisasjonens domenenavn.

Finn en domeneforhandler som kan sikre dine domener med DNSSEC.
Velg at bare forhandlere som tilbyr DNSSEC skal vises.

Sjekk om dine domeneoppslag valideres.