Stockholm Waterfront 25-26 november 2019

Rapporten ”Hälsoläget i .se” släppt

För femte året i rad har .SE kartlagt hur myndigheter och andra viktiga samhällsfunktioner hanterar sin närvaro på Internet. Granskningen "Hälsoläget i .se" presenterades under måndagen på Internetdagarna. Den kartlägger kvaliteten och nåbarheten i domännamnssystemet i .se-zonen och visar på en positiv utveckling där antalet allvarliga fel har minskat. Trots det har fortfarande 21 procent av domänerna allvarliga fel och 37 procent brister som bör åtgärdas.

För femte året i rad har .SE kartlagt hur myndigheter och andra viktiga samhällsfunktioner hanterar sin närvaro på Internet. Granskningen ”Hälsoläget i .se” presenterades under måndagen på Internetdagarna. Den kartlägger kvaliteten och nåbarheten i domännamnssystemet i .se-zonen och visar på en positiv utveckling där antalet allvarliga fel har minskat. Trots det har fortfarande 21 procent av domänerna allvarliga fel och 37 procent brister som bör åtgärdas.

– Det finns anledning att tro att det finns bristande kunskaper, som inte bara omfattar design och införande utan sannolikt också omfattar drift och operativt ansvar. Fortfarande är allvarliga brister vanliga och det finns därför behov både av att vässa sin egen kompetens och ställa relevanta krav på konsulter, registrarer och de leverantörer som driver namnservertjänster, e-posttjänster och webbtjänster, säger Anne-Marie Eklund – Löwinder, kvalitets- och säkerhetschef på .SE.

Granskar kvalitet och nåbarhet i DNS

Undersökningen av nåbarheten på nätet innefattar myndigheter på central, regional och lokal nivå, statliga företag, Internetoperatörer, företag inom media, bank, finans och försäkring, .SE:s registrarer samt universitet och högskolor. Totalt har 912 domäner och 1 369 unika namnservrar testats. Dessutom har en jämförelse gjorts mot en kontrollgrupp bestående av en procent av hela .se-zonen, vilket motsvarar 10 991 slumpmässigt utvalda .se-domäner. Granskningen rör bland annat kvalitet och nåbarhet i domännamnssystemet (DNS) samt hur vissa viktiga detaljer kring e-post och webb hanteras.

– Vi ser gärna att myndigheter och individer i beslutande ställning använder våra råd och rekommendationer och vidtar lämpliga åtgärder för förbättringar inom områdena DNS, DNSSEC och IPv6, men även skydd av kommunikation via e-post och webb.

En femtedel av domänerna har allvarliga fel – trots positiv utveckling

Av de testade domänerna 2010 hade 25,4 procent allvarliga fel och 43,4 procent brister av en karaktär som genererade varning. I årets undersökning är motsvarande siffror 21 procent domäner med allvarliga fel och 37 procent med brister av en karaktär som genererade varning. Vi kan alltså se en välkommen förbättring av resultaten.

En trend som är mycket positiv är att andelen namnservrar med rekursion påslaget har minskat kraftigt, från 40 procent 2007 till 11 procent i år. DNS-servrar som svarar på rekursiva anrop från tredje part kan enkelt utnyttjas i överbelastningsattacker. Det är också möjligt att förfalska avsändande IP-adress så att den som vill attackera ett system skapar frågor med falsk avsändaradress som går till en tredje part. Frågorna ställs på ett sätt som genererar stora DNS-svar vilka därefter går till den intet ont anande tredje parten vars tjänster kan bli helt blockerade.

Dominerande aktörer ökar riskerna

Årets undersökning visar en fortsatt trend med dominerande Internetoperatörer som står för drift av namnservrar, vilket kan medföra ökad sårbarhet. Om en enskild operatör dominerar inom en viss sektor och får problem blir konsekvensen att många aktörer inom samma sektor drabbas av problem samtidigt. Det är därför viktigt att ha alternativa namnservrar hos olika operatörer.

Fler namnservrar går att nå via IPv6

Trenden med ökad aktivitet på IPv6-området har vuxit sig starkare under 2011, totalt 19 procent av de undersökta domänerna har någon namnserver som går att nå via IPv6, jämfört med 10 procent 2010.

Universitet och högskolor toppar utvecklingen och den största förändringen står landstingen för, där antalet som använder namnservrar som går att nå med IPv6 har ökat från 5 till 43 procent. Också myndigheter, kommuner och media visar en positiv utveckling. Det är endast inom kategorierna Statliga företag respektive Bank och försäkring som det går långsammare.

Långsammare utveckling för DNSSEC

När det gäller DNSSEC, som skyddar Internetanvändare från förfalskad eller manipulerad DNS-information till exempel det som kallas DNS cache poisoning, går utvecklingen långsammare. Endast 0,45 procent av domänerna i .se-zonen är signerade med DNSSEC. Bland domänerna i undersökningsgruppen 2011 är 6,69 procent eller 61 domäner signerade med DNSSEC. Det är framför allt kommuner, myndigheter, landsting och Internetoperatörer som har börjat införa den säkrare tekniken.

Fortfarande dåligt transportskydd för e-post

Av de undersökta verksamheterna 2011 har endast 45 procent stöd för TLS/SSL i sina e-postservrar. TLS/SSL skyddar informationen under transport av information mellan servrar. Användningen av TLS/SSL har minskat inom kommuner, myndigheter och media, vilket ökar riskerna för dem som lämnar uppgifter via e-post till exempel till en journalist.

Bristande hantering av certifikat för webb

Hanteringen av certifikat i undersökningsgruppens webbmiljö håller fortfarande mycket dålig kvalitet i alla avseenden som undersökningen tar upp. Hos de organisationer som ingår i undersökningen bör man kunna förvänta sig långt bättre resultat, framför allt när det gäller så grundläggande saker som att använda giltiga, aktuella certifikat utgivna av trovärdiga certifikatutfärdare, CA.

I år har vi sett många allvarliga attacker mot certifikatutfärdare. Det väcker en del frågor om kvaliteten i säkerheten hos dessa. Det har också fått leverantörer av webbläsare att skärpa kraven som ställs på en CA att komma med i listorna över rot-CA-certifikat som följer med varje webbläsare.

Läs hela rapporten Nåbarhet på nätet – Hälsoläget i .se 2010