DNSSEC

DNSSEC eli Domain Name System Security Extensions on tekniikka, jolla parannetaan Internetin nimipalvelun (Domain Name System, DNS) turvallisuutta. DNS on kriittinen osa Internetin infrastruktuuria, sillä se muuntaa helposti ymmärrettävät domain-nimet IP-osoitteiksi.

Tässä artikkelissa perehdymme DNSSECin perusteisiin ja merkitykseen.

DNS (Domain Name System)

DNS eli Domain Name System on hierarkinen ja hajautettu järjestelmä, joka muuntaa ihmisten ymmärtämät verkkotunnukset (esimerkiksi ”google.com”) IP-osoitteiksi (kuten ”216.58.217.46”), joita tietokoneet ja muut verkossa olevat laitteet käyttävät keskenään kommunikoidessaan.

Yksinkertaisesti sanottuna DNS toimii Internetin puhelinluettelona.

Kun kirjoitat verkkoselaimen osoitekenttään verkkotunnuksen, selain tekee DNS-kyselyn selvittääkseen kyseisen domainin IP-osoitteen. Kun IP-osoite on saatu selville, selain voi ottaa yhteyden kyseiseen osoitteeseen ja näyttää pyydetyn verkkosivun.

TTL (Time To Live)

DNS-kyselyä ei tehdä jokaisella verkkoselaimen sivulatauksella vaan yleensä käytetään TTL (Time To Live) arvoja DNS-tietueissa parantamaan sivuston suorituskykyä.

TTL eli Time To Live on aika-arvo, joka määritetään sekunneissa, ja se kertoo, kuinka kauan DNS-tietueen tulisi olla välimuistissa (cache) ennen kuin se vanhenee ja tietue täytyy hakea uudelleen alkuperäisestä lähteestä, eli authoritative DNS-palvelimelta. TTL on oleellinen osa DNS-tietueiden hallintaa ja se vaikuttaa siihen, kuinka nopeasti muutokset DNS-tietueissa näkyvät maailmanlaajuisesti.

Tyypillinen arvo TTL arvolle on 3600 sekuntia (eli yksi tunti).

DNS:än tärkeitä komponentteja

Domain: Verkkotunnus kuten jokinetti.fi
DNS-palvelin: Palvelin, joka sisältää tietokannan domain-nimistä ja niitä vastaavista IP-osoitteista.

Miksi DNS on tärkeä?

Ilman DNS:ää ihmiset joutuisivat muistamaan monimutkaisia IP-osoitteita päästäkseen haluamilleen verkkosivuille. DNS:n ansiosta voimme käyttää helposti muistettavia nimiä, ja järjestelmä huolehtii siitä, että saamme yhteyden oikeaan kohteeseen.

Tämä yksinkertaistaa suuresti Internetin käyttöä ja mahdollistaa sen laajamittaisen käytön monenlaisten laitteiden ja sovellusten kanssa.

Mikä on DNSSEC?

DNSSEC on joukko laajennuksia perinteiselle DNS-järjestelmälle, joka lisää ylimääräisen lisäturvan DNS-kyselyille käyttämällä digitaalista allekirjoitusta. Sen avulla voidaan varmistaa, että käyttäjä saa aitoja ja muuttumattomia DNS-tietoja.

Miksi DNSSEC on tärkeä?

Ilman DNSSECiä DNS-kyselyt ovat haavoittuvia erilaisille hyökkäyksille, kuten man-in-the-middle -hyökkäyksille, joissa hyökkääjä voi ohjata käyttäjän väärille verkkosivuille. Tällaiset hyökkäykset voivat johtaa tietojen varkauteen tai haitallisen ohjelman asennukseen.

Miten DNSSEC toimii?

Digitaaliset allekirjoitukset

Kun DNS-tietoja päivitetään, ne allekirjoitetaan yksityisellä avaimella. Kun tietoja pyydetään, ne toimitetaan yhdessä digitaalisen allekirjoituksen kanssa.

Avainten vaihto

DNSSEC käyttää sekä julkisia että yksityisiä avaimia. Kun tiedot pyydetään, julkista avainta käytetään varmistamaan, että saatu digitaalinen allekirjoitus on aito.

Luotettavuuden varmistaminen

Jos allekirjoitusta ei voida varmistaa, tietoja ei pidetä luotettavina. Tämä suojaa käyttäjiä saamasta väärennettyjä tietoja.

Onko DNSSEC sama asia kuin HTTPS?

Ei, DNSSEC ja HTTPS eivät ole sama asia, vaikka molemmat liittyvät verkkoturvallisuuteen. Ne suojaavat eri osia verkkokommunikaatiosta ja toimivat eri tavoin. Käydään läpi molempien perusominaisuudet ja erot:

DNSSEC (Domain Name System Security Extensions):

  1. Tarkoitus: DNSSEC on suunniteltu suojaamaan DNS-kyselyitä ja -vastauksia väärentämistä vastaan. Se varmistaa, että kun tietokone kysyy domainin IP-osoitetta, se saa oikean ja muuttumattoman vastauksen.
  2. Miten se toimii: DNSSEC käyttää digitaalisia allekirjoituksia varmistaakseen DNS-tietojen eheyden ja alkuperäisyyden. Se ei salaa itse tietoja, vaan varmistaa, että tiedot ovat peräisin oikeasta lähteestä eikä niitä ole muutettu matkan varrella.
  3. Suojattu osa: DNSSEC suojaa DNS-kyselyprosessia ja varmistaa, että domain-nimen ja siihen liittyvän IP-osoitteen välillä ei ole väliintuloja.

HTTPS (Hyper Text Transfer Protocol Secure):

  1. Tarkoitus: HTTPS on suunniteltu suojaamaan tietojen siirtoa verkkoselaimen ja verkkopalvelimen välillä. Se varmistaa, että tiedot, joita jaetaan käyttäjän ja verkkosivuston välillä, ovat salattuja ja ettei niitä voida lukea tai muuttaa kolmansien osapuolten toimesta.
  2. Miten se toimii: HTTPS käyttää SSL/TLS-protokollaa salatakseen tiedot, jotka lähetetään ja vastaanotetaan. Tämä tarkoittaa, että vaikka hyökkääjä pystyisi kaappaamaan tiedot, hän ei pystyisi lukemaan niitä ilman avainta.
  3. Suojattu osa: HTTPS suojaa tietojen siirtoa verkkoselaimen ja palvelimen välillä, mukaan lukien käyttäjätunnukset, salasanat, maksutiedot ja muut arkaluontoiset tiedot.

Yhteenveto

Vaikka sekä DNSSEC että HTTPS liittyvät verkkoturvallisuuteen, ne suojaavat eri osia verkkokommunikaatiosta.

DNSSEC keskittyy domain-nimien ja IP-osoitteiden eheyden varmistamiseen, kun taas HTTPS keskittyy tietojen salaukseen ja eheyden varmistamiseen verkkoselaimen ja palvelimen välillä.

Molempien tekniikoiden yhdistelmä tarjoaa kattavamman suojauksen verkkokäyttäjille.

Kuinka ottaa DNSSEC käyttöön?

DNSSECin käyttöönotto vaatii sekä domainin rekisteröijän että nimipalveluntarjoajan tuen.

Jokinetin käyttämä verkkotunnusvälittäjä Domain247 tukee DNSSEC allekirjoituksen lisäämistä verkkotunnukselle. Jokinetin kotisivuille DNSSEC ominaisuus on saatavana lisäpalveluna. Toistaiseksi ominaisuus on saatavilla vain .FI -verkkotunnuksille.

DNSSECin lisäämisen jälkeen toimivuuden voi testata esim. näillä työkaluilla:

https://zonemaster.fi/domain_check
https://dnssec-analyzer.verisignlabs.com
http://whois.jarvenpaa.net/

Haluatko DNSSEC ominaisuuden verkkotunnuksellesi? Ota yhteyttä!

Samankaltaiset artikkelit