Podd #127: DNSSEC-special med Anne-Marie Eklund Löwinder

För att din dator eller mobiltelefon ska kunna ansluta till en webbplats behöver den känna till webbplatsens IP-adress. IP-adressen till just den här webbplatsen är exempelvis 91.201.60.246. För att du ska slippa komma ihåg krångliga IP-adresser finns DNS-systemet som översätter mellan lättihågkomliga domännamn (till exempel nikkasystems.com) och svårihågkomliga IP-adresser. DNS-systemet fyller således ungefär samma funktion som den klassiska telefonkatalogen.

DNS-systemet har dock sina brister. Vanliga DNS-uppslag skickas i klartext och angripare kan modifiera uppslagen längs vägen så att mejl hamnar i orätta händer eller webbläsare leds in på fel webbplatser. Lösningen på problemet heter DNSSEC. Med hjälp av kryptografiska signaturer förhindrar DNSSEC att falska eller manipulerade DNS-svar godtas av våra datorer och mobiler.

I veckans podd träffar vi Anne-Marie Eklund Löwinder som arbetar som säkerhetschef på Internetstiftelsen. Hon är en av världens 14 nyckelbärare som tillsammans ser till att DNSSEC-systemet förblir tillförlitligt. Med denna unika insikt i DNSSEC:s funktion förklarar Anne-Marie vad DNSSEC är och hur det stärker säkerheten på internet.  

Tidskoder i avsnittet

  • 00.00 Inledning
  • 01.19 Återställningsattack mot WD My Book Live
  • 05.16 Sverige toppar bossware-sökningar
  • 07.15 DNSSEC-special med Anne-Marie Eklund Löwinder (veckans huvudämne)

Omtalat i avsnittet

Kontrollera ifall en domän är skyddad med DNSSEC

Det är tyvärr inte alla webbplatsadministratörer som skyddar sina domäner med DNSSEC. Med hjälp av Verisigns testverktyg kan du undersöka ifall dina favoritwebbplatser har aktiverat DNSSEC-skyddet. Testverktyget visar ifall en webbplats saknar DNSSEC-skydd eller ifall det finns några problem med dess konfiguration. Om alla bockar är gröna fungerar allt som det ska.

Verisigns testverktyg konstaterar att nikkasystems.com skyddas med DNSSEC.
Verisigns testverktyg konstaterar att nikkasystems.com skyddas med DNSSEC.

Kontrollera ifall dina DNS-uppslag valideras

För att du ska skyddas av DNSSEC måste även DNS-servern som din dator eller mobil förlitar sig på ha stöd för DNSSEC. Du kan testa ifall dina DNS-uppslag DNSSEC-valideras genom att besöka https://dnssec.fail. Den domänen är medvetet felaktigt konfigurerad ur DNSSEC-perspektiv. Din webbläsare ska därför reagera som om någon försöker kapa anslutningen. Ifall din webbläsare INTE kan visa webbsidan är allt som det ska.

En DNSSEC-testwebbplats visar att anslutningen misslyckades.
Om du inte kan ansluta till dnssec.fail skyddas du med DNSSEC.

Om din webbläsare visar testwebbsidan kan du byta DNS-server till en DNSSEC-kompatibel sådan. Vi har lagt instruktioner för detta i artikeln som hör ihop med poddavsnittet om DNS-skydd. En alternativ lösning på problemet är att skicka bilden här under till den som ansvarar för DNS-servern. Bilden visar tydligt hur arg och besviken Anne-Marie blir när inte DNSSEC är på plats.

Anne-Marie blir arg när DNSSEC inte är på plats. Foto: Privat.

Dessa shownotes finns också hos Bredband2 som podden produceras tillsammans med.

Denna artikel är publicerad under Creative Commons CC BY 4.0-licens (gäller ej tillhörande bilder där annan fotograf är angiven). Det innebär att du får kopiera, bearbeta och vidaredistribuera materialet.