Bremser DNSSEC oppslag?

Marginalt. DNSSEC gir litt større responsstørrelse, men ytelse-forskjellen merkes ikke i praksis.

Beskytter DNSSEC mot phishing?

Indirekte. Det forhindrer DNS-manipulering som kan rute brukere til falske sider, men beskytter ikke mot phishing der brukeren selv klikker på en falsk lenke.

Bør alle domener ha DNSSEC?

Anbefalt for kritiske domener (banker, e-handel, høyverdige merker). For små personlige sider er det ikke kritisk, men gir ekstra forsvar.

Hva skjer ved leverandørskifte?

Krever koordinering: ny leverandør må ha sonen signert FØR DS-record byttes hos registrar. Mange leverandører har egne migrerings-rutiner for dette.

DNSSEC 8 min lesetidSist oppdatert 5. mai 2026Av Redaksjonen

DNSSEC i praksis: slik aktiverer du det

Kort svar

DNSSEC signerer DNS-svar kryptografisk slik at de ikke kan manipuleres på vei til mottakeren. Aktivering skjer i to steg: opprett nøkler hos navneserver-leverandøren og registrer DS-record hos registrar. De fleste moderne DNS-leverandører støtter DNSSEC med ett-klikks aktivering.

Hva er DNSSEC?

DNSSEC - DNS Security Extensions - er et lag av kryptografi over DNS som beviser at svaret kommer fra autoritative servere og ikke har blitt endret underveis.

Uten DNSSEC kan en angriper utføre cache poisoning - sniffe seg inn mellom DNS-resolver og bruker, og servere falske svar. Dette har skjedd i praksis og kan rute hele land til feil servere.

Hvordan virker det teknisk?

DNSSEC bruker offentlig-nøkkel-kryptografi:

Sone-eieren signerer alle DNS-poster med en privatnøkkel.
Den offentlige nøkkelen publiseres som DNSKEY-record i sonen.
RRSIG-poster inneholder selve signaturene per record-type.
DS-record ligger hos toppdomenet (registry) og bekrefter sonens nøkkel.
Resolvere bygger en "chain of trust" fra rot til sonen.

Aktivere DNSSEC for .no

Norid støttet DNSSEC fra tidlig. Aktivering skjer typisk hos navneserver-leverandøren:

Hvis du bruker Cloudflare DNS

1. Logg inn → DNS → Settings → DNSSEC → Enable. 2. Kopier DS-record (digest) som vises. 3. Logg inn hos registraren din (Domeneshop, IIO, etc.). 4. Lim inn DS-record under domene-innstillinger. 5. Vent 24-48 timer for propagering.

Hvis du bruker leverandørens egne navneservere

Mange .no-registrarer (Domeneshop, IIO) tilbyr DNSSEC som ett-klikks alternativ. Aktivering håndterer både nøkkel-generering og DS-publisering automatisk.

Verifisering

Etter aktivering, sjekk at det fungerer:

Bruk DNSViz (dnsviz.net) eller Verisign Labs for visuell sjekk.
Kommandolinje: `dig +dnssec domene.no DS @8.8.8.8`
Sjekk at "Authentic Data" (ad-flag) er satt i svar.

Vanlige fallgruver

DNSSEC kan også gjøre vondt verre hvis det settes opp feil:

DS uten DNSKEY - registrar har DS, men sonen er usignert. Domenet blir uoppnåelig.
Utløpte signaturer - RRSIG har TTL og må fornyes regelmessig (automatisk hos gode leverandører).
Bytte av leverandør uten DNSSEC-flytting - DS hos registrar peker på gammel nøkkel, ny leverandør har annen - sonen blir BOGUS.
Algoritme ikke støttet - bruk anbefalte algoritmer (RSA SHA-256, ECDSA P256).

Slik gjør du det

1
Velg DNS-leverandør med DNSSEC-støtte
Cloudflare, Route 53, og de fleste norske registrarer støtter DNSSEC.
2
Aktiver DNSSEC i kontrollpanelet
Følg leverandørens veiledning. De fleste tilbyr ett-klikks aktivering.
3
Hent DS-record
Kopier DS-record-detaljene som genereres etter aktivering.
4
Publiser DS hos registry
Logg inn hos registraren og lim inn DS-record. .no-registrarer har egen DNSSEC-seksjon.
5
Verifiser med DNSViz eller dig
Sjekk at chain of trust fungerer end-to-end. Vent 24-48 timer for full propagering.
6
Sett opp overvåkning
DNSSEC-feil kan ta hele domenet ned. Bruk en monitor som varsler ved BOGUS-tilstand.

Vanlige feil

Aktivere DS hos registry uten å aktivere signering hos navneserver - sonen blir uoppnåelig.
Migrere DNS-leverandør uten å oppdatere DS - kritisk feil.
Bruke deprecerte algoritmer - kan gi advarsler hos resolvere.
Ignorere monitoring - DNSSEC-fail tar ned hele domenet.

Sjekkliste

DNSSEC aktivert hos navneserver-leverandør.
DS-record publisert hos registrar.
Verifisert med DNSViz at chain of trust er intakt.
Monitoring satt opp for å fange utløpte signaturer.
Plan for hvordan DNSSEC håndteres ved leverandørskifte.

Ofte stilte spørsmål

Bremser DNSSEC oppslag?
Marginalt. DNSSEC gir litt større responsstørrelse, men ytelse-forskjellen merkes ikke i praksis.
Beskytter DNSSEC mot phishing?
Indirekte. Det forhindrer DNS-manipulering som kan rute brukere til falske sider, men beskytter ikke mot phishing der brukeren selv klikker på en falsk lenke.
Bør alle domener ha DNSSEC?
Anbefalt for kritiske domener (banker, e-handel, høyverdige merker). For små personlige sider er det ikke kritisk, men gir ekstra forsvar.
Hva skjer ved leverandørskifte?
Krever koordinering: ny leverandør må ha sonen signert FØR DS-record byttes hos registrar. Mange leverandører har egne migrerings-rutiner for dette.

Oppsummert

DNSSEC signerer DNS-svar mot manipulasjon.
To deler: signering hos navneserver + DS-record hos registrar.
De fleste moderne leverandører støtter ett-klikks aktivering.
Verifiser med DNSViz og sett opp monitoring.
Vær forsiktig ved leverandørskifte - koordineres nøye.

Relaterte guider

Relaterte begreper

Relaterte verktøy

DNS-sjekkTest DNS-oppsettet ditt for A, MX, TXT og DNSSEC. Verifiser at domenet peker riktig og finn vanlige feil før de skaper problemer.

Neste steg

Verifiser DNSSEC-status

Fortsett

Trenger du hjelp?

Snakk med våre rådgivere

Skreddersydd rådgivning for dnssec - trygge råd, ingen forpliktelser.

Få eksperthjelp