Stockholm Waterfront 25-26 november 2019

Genombrott för säker DNS

I och med att domännamnssystemets högsta nivå nu har infört säkerhetstilläggen DNSSEC håller 2010 på att bli ett genombrottsår för denna teknik. Alla som är nyfikna på utvecklingen på området och vad den innebär rekommenderas att delta vid seminariet DNSSEC Developments under höstens upplaga av Internetdagarna.

DNSSEC gör Internets öppna katalogtjänst DNS säkrare genom att bland annat webb- och e-postadresser kan verifieras så att användaren vet att de leder rätt på Internet. Med DNSSEC signeras zonerna på Internet kryptografiskt. Vid uppslagning av ett domännamn kontrolleras signaturen gentemot en nyckel hos den som ansvarar för dess zon.

Rotsignering förenklar
Tekniken har redan funnits ett antal år och .SE har gått i bräschen för dess införande. Det som har fått ordentlig fart på utvecklingen i år är att Internets så kallade rotzon signerades under sommaren. Eftersom rotzonen finns i toppen av DNS-hierarkin blir det nu enklare för de underliggande toppdomänerna att införa DNSSEC.

– Många har tidigare satt rotsigneringen som ett villkor för att själva göra något, så när denna nu är genomförd signerar den ena toppdomänen efter den andra sina zoner, säger Jakob Schlyter, konsult på Kirei som tillsammans med sin kollega Fredrik Ljunggren fick förtroendet från Verisign och ICANN att utforma processen för rotsigneringen.

En förlösande faktor
Vid seminariet kommer Jakob att berätta mer om hur signeringen har gått till och vad det innebär för Internetanvändare att rotzonen nu är signerad. Seminariet som modereras av Lars-Göran Forsberg, marknadschef för NU Domain, kommer dock framför allt att handla om vad som väntar framöver.

–  Rotsigneringen tycks bli den förlösande faktor vi hoppats på. Har du som toppdomän i dag ingen plan för att införa DNSSEC ser man snett på dig. Dessutom börjar alla Internetoperatörer nu slå på DNSSEC-validering, säger Jakob.

Det ser i dag ut som att tekniken är på god väg att bli norm för alla domäner. Registrarer och stora DNS-operatörer kan inte ignorera DNSSEC längre. Nu finns också både kommersiella och open source-verktyg som gör det lättare för dem att implementera DNSSEC, till exempel OpenDNSSEC.

– När vi ser tillbaka på 2010 i framtiden tror jag att det blir som året då DNSSEC slog igenom, avslutar Jakob.