DNSSEC

PTS använder DNSSEC. Därför kan du vara säker på att du verkligen är på vår webbplats.

Som första myndighet i Sverige, och sannolikt också i världen, införde PTS DNSSEC i september 2008. Alla som söker information på vår webbplats eller vill använda våra e-tjänster, kan vara säkra på att de besöker vår riktiga webbplats och inte en falsk kopia.

DNSSEC garanterar äkta webbplatser

Alla webbplatser har en adress som består av ett antal siffror eller siffror blandat med alfabetiska tecken – en ip-adress. Den behövs när datorerna kommunicerar med varandra. Domännamnsystemet DNS, som är en del av internet, kopplar en textadress till en ip-adress. Tack vare DNS kan en person som surfar skriva in www.pts.se i sin webbläsare, i stället för en ip-adress, för att komma till vår webbplats.

DNS underlättar mycket, men är möjligt att manipulera. Det går att sätta upp en falsk webbplats och manipulera DNS så att den som surfar kommer till den falska sidan, trots att hon eller han har skrivit rätt textadress. Den som har satt upp den falska webbplatsen kan exempelvis sprida falsk information eller använda sidan för att försöka komma över känsliga uppgifter.

Tekniken som skyddar webbplatser mot detta heter DNSSEC (DNS Security Extensions). Den bygger på kryptografi och digitala signaturer och gör att det går att upptäcka om adresshänvisningen till en viss webbplats har förfalskats.

Sverige ett föregångsland

DNSSEC är det enda heltäckande skyddet för att upptäcka förfalskade DNS-svar. Internetstiftelsen i Sverige (IIS) som hanterar den svenska toppdomänen .se, lanserade DNSSEC som tjänst i januari 2007. Sedan dess har alla domäninnehavare under .se-domänen möjlighet att dra nytta av den förbättrade säkerheten. Sverige var ett föregångsland vad gäller att införa den nya tekniken för ökad säkerhet. Fler toppdomänadministratörer i olika länder har sedan dess följt efter och infört DNSSEC, och sedan år 2010 är DNSSEC infört även i rotzonen, det vill säga DNS översta nivå. Det innebär att innehållet signeras med en kryptografisk nyckel, som hanteras av den internationella organisationen ICANN, Internet Corporation for Assigned Names and Numbers.

Åtgärder behövs för att DNSSEC ska fungera som avsett

ICANN har beslutat att byta ut den kryptografiska nyckeln (Key Signing Key, KSK). Bytet var ursprungligen planerat till den 11 oktober 2017, men ICANN meddelade den 27 september 2017 att bytet är uppskjutet. Ingen ny tidpunkt för bytet är fastställd ännu, men enligt ICANN kan det bli under första kvartalet 2018.

Det är viktigt att DNS-operatörer som har DNSSEC-validerande resolvrar byter till den nya publika delen av KSK:n innan bytet sker i rotzonen. Om så inte sker kan inte dessa DNS-operatörer validera DNS-svar, och då kan inte användaren nå sin sökta webbplats. För företag som tillhandahåller DNS-tjänster och använder DNSSEC-validerande resolvrar är det viktigt att inleda arbetet med att uppdatera sina system med den nya publika delen av den publika delen av KSK:n.

Informationen om ny tidplan för nyckelbytet i rotzonen, se ICANN:s webbplats

Information om nyckelbytet, se ICANN:s webbplats

Information finns även på IIS webbplats