DS-tietue
DS-tietue julkaistaan ylemmässä vyöhykkeessä ja se yhdistää verkkotunnuksen DNSSEC-luottamusketjuun.
DNS · DNSSEC · Validointi
DNSSEC-tarkistus
Tarkista, onko verkkotunnuksella DNSSEC käytössä ja muodostuuko sille toimiva luottamusketju juurialueelta verkkotunnuksen DNSKEY-avaimiin asti.
Syötä pelkkä verkkotunnus ilman https://-alkua, esimerkiksi
domain.com.
Syötä verkkotunnus ja aloita tarkistus.
Opas · DNSSEC
Mikä DNSSEC-tarkistus on?
DNSSEC-tarkistus selvittää, onko verkkotunnuksen DNS-vastaukset suojattu DNSSEC-allekirjoituksilla ja voidaanko ne validoida luotettavasti. DNSSEC lisää DNS:ään allekirjoitukset, joiden avulla voidaan varmistaa, ettei DNS-vastausta ole muutettu matkalla.
DNSKEY
DNSKEY-tietueet sisältävät julkiset avaimet, joilla DNSSEC-allekirjoituksia voidaan tarkistaa.
Luottamusketju
Toimiva DNSSEC tarvitsee ehjän ketjun juurialueelta päätteen kautta tarkistettavaan verkkotunnukseen.
Validointi
Jos validointi onnistuu, DNS-vastaukset voidaan todentaa allekirjoitusten perusteella.
Miksi DNSSEC on tärkeä?
DNSSEC suojaa DNS-vastausten eheyttä. Se ei salaa DNS-liikennettä, mutta se auttaa varmistamaan, että vastaus on peräisin oikeasta DNS-vyöhykkeestä eikä sitä ole muutettu matkalla.
DNSSEC on erityisen tärkeä, jos verkkotunnuksella käytetään muita DNS:n varaan rakentuvia suojausmekanismeja, kuten DANE/TLSA-tietueita. Ilman toimivaa DNSSECiä DANE ei voi tarjota samaa luottamustasoa.
Miten tulosta tulkitaan?
Suojattu tarkoittaa, että DNSSEC-validointi onnistui ja luottamusketju on kunnossa. Allekirjoittamaton tarkoittaa, ettei verkkotunnukselle löytynyt validoitavaa DNSSEC-ketjua. Tämä ei yleensä riko verkkotunnuksen toimintaa, mutta DNSSEC-suojaus ei ole käytössä.
Validointi epäonnistui on vakavampi tila. Se voi tarkoittaa, että DS- ja DNSKEY-tiedot eivät vastaa toisiaan tai allekirjoitukset ovat virheellisiä. Tällöin validoivat resolverit voivat lakata palauttamasta verkkotunnuksen DNS-vastauksia.
Usein kysytyt kysymykset
Salaako DNSSEC DNS-kyselyt?
Ei. DNSSEC varmistaa DNS-vastausten eheyden ja alkuperän, mutta ei salaa kyselyitä. Salaamiseen tarvitaan muita tekniikoita, kuten DoT tai DoH.
Voiko virheellinen DNSSEC rikkoa verkkotunnuksen?
Kyllä. Jos DNSSEC-ketju on rikki, validoivat resolverit voivat hylätä DNS-vastaukset, jolloin verkkosivusto ja sähköposti voivat lakata toimimasta osalle käyttäjistä.
Tarvitaanko DNSSEC aina?
DNSSEC ei ole pakollinen kaikille verkkotunnuksille, mutta se parantaa DNS-vastausten luotettavuutta ja on käytännössä välttämätön DANE/TLSA:n kaltaisille suojausratkaisuille.