Norge ligger i verdenstoppen når det gjelder andelen nasjonale domenenavn som er kryptografisk signert, noe kan beskytte internettbrukere mot angrep som benytter flaske DNS-oppslag (Domain Name System) og noe av risikoen for å bli sendt til falske nettsteder. Teknologien kalles for DNSSEC (Domain Name System Security Extensions).
Både DNS og DNSSEC er godt forklart av Uninett Norid i denne videoen.
Ingen av de største
Men i en undersøkelse som Norid har gjort, viser at ingen av de ti mest brukte, norske domenenavnene er beskyttet med DNSSEC (se listen lenger ned i saken). Blant de 50 mest brukte, er bare 12 prosent signert.
Dette er ganske oppsiktsvekkende fordi av alle de norske domenenavnene, var så mange som 58,2 prosent signerte den 1. desember i år. Med tanke på at Norid innførte støtte for DNSSEC på .no-nivå så sent som i 2014, noe som anses som en høy andel i verdenssammenheng. Men etter den store innsatsen som ble gjort av en del registrarer i 2014, har ikke antallet vokst veldig mye, noe diagrammet nedenfor viser. Tallet har økt noe siden 1. desember. I skrivende stund er det registrert 716.655 domenenavn under .no.
I Norge er det ifølge Norid 345 forhandlere av norske domenenavn (registrarer). Bare 66 av disse tilbyr sikring av domenenavnene med DNSSEC.
De ti forhandlerne som har signert flest domener, står til sammen for 98,8 prosent av totalen. Aller størst andel har Domeneshop med 63,1 prosent.
Leste du denne? Nøkkelen som sikrer DNS skal byttes for første gang
Krevende
– DNSSEC er avansert teknologi og det er svært lite slingringsmonn for feil. Dermed krever det økt kompetanse sammenliknet med det å drive vanlig navnetjeneste for domener. Det kan være det som er grunnen til at så få registrarer har tatt det i bruk, skriver Hilde Thunem, daglig leder for Uninett Norid, i en epost til digi.no.
Hun forklarer også hva som kan være noe av årsaken til at mange av store aktørene ikke har signert domenenavn, mens mange av de små har dette.
En mulig forklaring
– Registrarene kan bare sikre domener med DNSSEC på vegne av kundene hvis registraren også driver navnetjenesten til domenene. Bedriftskunder som driver sin egen infrastruktur og navnetjeneste må signere sine egne domener, og så bruke registraren til å få signaturen registrert i Norids systemer. Disse kundene må dermed selv ha kompetanse på DNSSEC for å få til å ta teknologien i bruk, forklarer Thunem.
En oversikt over alle forhandlerne av norske domener finnes her. I oversikten er det mulig å få vist alle som tilbyr DNSSEC. Av oversikten kan man se at ingen registrarer har signert alle domene de har i porteføljen, men enkelte har en andel på over 90 prosent. Ifølge Norid er det bare 14 som har signert mer enn 10 prosent.
Les også: Berømmer norske registrarer for sikkerhetsløft
Feide.no
På Norids liste over de ti mest brukte domenenavnene uten DNSSEC, finner vi feide.no. I likhet med Norid, er Feide en del av Uninett. Digi.no spurte derfor Lars Kviteng, kontaktperson for Feide hos Uninett, om hva som er årsaken til at feide.no ikke er sikret. Det er Uninett selv som er registrar for feide.no.
– Uninett er i en prosess med å etablere bruk av DNSSEC for feide.no, men har avventet tekniske justeringer på Uninetts interne oppsett av navnetjenesten, med ytterligere robustifisering av navnetjenesten i forbindelse med eventuelle feilsituasjoner når soner signeres. Vi vurderer løpende dette før vi tar endelig valg om omlegging til DNSSEC, skriver Kviteng i en epost.
Han forteller videre at Feide er en kritisk infrastrukturkomponent i utdannings-Norge, med over 150 millioner pålogginger årlig, og dette krever at de fleste forhold er vurdert før slik omlegging skjer.
– Uninett har ellers i stor grad tatt i bruk DNSSEC for sine domener, selv om feide.no er gjenstående, opplyser Kviteng.
Selv om Feide og Norid er i samme konsern, opptrer Uninett på lik linje med andre registrarer over Norid.
– Som registrar håndterer Uninett egen infrastruktur for vår navnetjeneste, denne er ikke felles med Norid. Men Uninett AS deler Norids ønske om å ta i bruk DNSSEC for alle våre domener, avslutter Kviteng.
Offentlig forvaltning
I dypdykket registrerer Norid også at under halvparten av domenene som er registrert av offentlig forvaltning, er signer med DNSSEC.
Norid mener det er alvorlig at ingen av de offentlige kategoridomenene (stat.no, dep.no, kommune.no, herad.no) eller kategoridomenet til Forsvaret (mil.no) har tatt den nye teknologien i bruk. Dette betyr at heller ikke underdomener til disse kategoridomenene, for eksempel nsm.stat.no, kan sikres med DNSSEC.
Validering
For at DNSSEC skal fungere, må også navnetjenerne som vanlige pc-er og smartmobiler henvender seg til, ha støtte for teknologien, slik at svar med falske eller mangelfulle signaturer forkastes. Slike DNS-servere, som kalles for «rekursive resolvere», finnes gjerne hos internettleverandører, hostingtilbydere, internt i en del bedrifter og hos spesielt interesserte privatpersoner.
Norid påpeker at det er nødvendig at så mange som mulig skrur på DNSSEC-valideringen på disse navnetjenerne, for at potensialet i DNSSEC skal kunne utnyttes.
Tall fra Apnic viser at omtrent 72 prosent av domeneoppslagene i Norge ble validert i begynnelsen av desember. Dette er omtrent dobbelt så høy andel som ved begynnelsen av året.
Andelen er enda litt høyere i enkelte andre land i Nord-Europa, med Sverige på topp med nesten 79 prosent. I Storbritannia er andelen på beskjedne 6,6 prosent.
Les også: Mange norske nettbutikker fortjener fortsatt strykkarakter for sikkerheten
