Dokumentation

Vad är DNSSEC och hur aktiverar du det

Vad är DNSSEC?

DNS Security Extensions (DNSSEC) lägger till ett lager av kryptografisk signering av DNS-svar. Utan DNSSEC kan vem som helst som kan avlyssna eller förgifta DNS-trafik omdirigera din domäns besökare till en falsk server — utan att offren märker något.

DNSSEC gör det möjligt för en resolver att verifiera att DNS-svaret den fick faktiskt publicerades av din auktoritativa namnserver och inte har manipulerats under transport.

Det krypterar inte DNS-frågor (för det, se DNS-over-HTTPS eller DNS-over-TLS). Det autentiserar bara svaren.

Hotet: DNS cache poisoning

En DNS cache poisoning-attack fungerar så här:

  1. En angripare skickar förfalskade DNS-svar till en resolver.
  2. Resolvern cachas det falska DNS-svaret.
  3. Användare som frågar den resolvern dirigeras till angriparens server.
  4. Angriparen kan avlyssna trafik, servera skadlig kod eller stjäla inloggningsuppgifter — medan domännamnet i webbläsaren ser korrekt ut.

Uppmärksammade attacker av denna typ har omdirigerat banksajter, registrars inloggningssidor och e-posttjänster.

Vad du bör göra

Steg 1 — Kontrollera om DNSSEC redan är aktiverat

Sök efter RRSIG-poster i en DNS-sökning:

dig +dnssec dindomän.se

Om svaret innehåller RRSIG-poster är DNSSEC aktivt.

Steg 2 — Aktivera DNSSEC hos din DNS-leverantör

DNSSEC-konfiguration är vanligtvis en enkel växel i din DNS-leverantörs kontrollpanel. Leverantören genererar nycklarna och publicerar DNSKEY-, RRSIG- och NSEC/NSEC3-posterna automatiskt.

Leverantörer med inbyggt DNSSEC-stöd inkluderar: Cloudflare, AWS Route 53, Google Cloud DNS, Gandi, Namecheap och de flesta moderna registrarer.

Steg 3 — Skicka in DS-posten till din registrar

Efter att du aktiverat DNSSEC hos din DNS-leverantör måste du skicka in en DS-post (Delegation Signer) till din domänregistrar. Detta kopplar förtroendekedjan från rotzonen ner till din domän.

Din DNS-leverantör ger dig DS-postvärdena. Klistra in dem i DNSSEC-sektionen i din registrars kontrollpanel.

Om din DNS-leverantör och registrar är samma bolag (t.ex. Cloudflare för båda) sker detta steg ofta automatiskt.

Steg 4 — Verifiera förtroendekedjan

Testa att hela förtroendekedjan fungerar:

dig +dnssec DS dindomän.se @8.8.8.8

Eller använd dnssec-analyzer.verisignlabs.com för en visuell kontroll av förtroendekedjan.

Viktigt: håll DNSSEC underhållet

Om du byter DNS-leverantör måste du noggrant koordinera övergången. Att ta bort DNSSEC-poster eller byta namnservrar utan att uppdatera DS-posten hos registraren orsakar DNSSEC-valideringsfel, vilket gör din domän helt onåbar för resolvers som tillämpar DNSSEC. Gör alltid så här:

  1. Inaktivera DNSSEC hos registraren innan du byter namnservrar.
  2. Återaktivera DNSSEC efter att de nya namnservrarna är live.

Senast uppdaterad: March 28, 2026