Spring til indhold
Palisai
Alle artikler
Sikkerhed1. februar 20263 min læsning

DNSSEC forklaret: Hvorfor signering af DNS er kritisk i 2026

Af Jens Arnfelt

DNS blev opfundet i 1980'erne — en tid, hvor internettet var lille og tillidsfuldt. Systemet blev designet til at være hurtigt og robust, men ikke til at bevise, at et svar rent faktisk kommer fra den rette kilde. Den mangel er stadig med os i dag, og det er præcis det problem, DNSSEC løser.

Problemet: DNS uden signering

Når din computer slår et domæne op, stoler den som udgangspunkt på det første fornuftige svar, den får. Det åbner for cache poisoning og DNS-spoofing, hvor en angriber narrer en resolver til at gemme et forkert svar — for eksempel en forkert IP-adresse til din bank eller dit login. Brugeren ser det rigtige domænenavn i adresselinjen, men bliver sendt et forkert sted hen.

Klassikeren er Kaminsky-angrebet fra 2008, der viste, hvor praktisk gennemførligt cache poisoning var. Truslen er ikke teoretisk.

Hvad er DNSSEC?

DNSSEC (DNS Security Extensions) tilføjer digitale signaturer til DNS. Hver zone signerer sine records med en privat nøgle, og en resolver kan verificere signaturen med den tilhørende offentlige nøgle. Det giver to garantier:

  • Integritet — svaret er ikke blevet ændret undervejs.
  • Oprindelse — svaret kommer fra den zone, det udgiver sig for.

Tilliden bygges som en kæde fra rod-zonen (.) ned gennem topdomænet (fx .dk) til dit eget domæne. Nøglematerialet ligger i records som DNSKEY og RRSIG, og forbindelsen mellem et niveau og det næste sikres af en DS-record hos din registrar. Validerer en resolver kæden og finder et brud, afviser den svaret i stedet for at sende brugeren videre til en mulig forfalskning.

Hvad DNSSEC ikke gør

Det er lige så vigtigt at forstå, hvad DNSSEC ikke er:

  • DNSSEC krypterer ikke dine opslag. Det beskytter mod forfalskning, ikke mod aflytning. Vil du skjule selve opslaget, skal du kigge på DNS over HTTPS (DoH) eller DNS over TLS (DoT).
  • DNSSEC gør ikke din hjemmeside sikker. Det sikrer vejen til den rigtige server — ikke hvad der sker derefter.
  • DNSSEC fjerner ikke behovet for SPF, DKIM og DMARC på e-mailsiden.

DNSSEC er med andre ord ét lag i et forsvar i dybden — et vigtigt et, men ikke det eneste.

Bør du aktivere DNSSEC?

For de fleste domæner: ja. Fordelene er reelle, og understøttelsen er god hos danske registrarer og udbydere. To ting at være opmærksom på:

  • Drift. DNSSEC kræver, at nøgler holdes gyldige, og at nøgleudskiftninger (key rollover) håndteres korrekt. En udløbet signatur kan gøre dit domæne uopnåeligt for validerende resolvere. Mange udbydere automatiserer det i dag.
  • Registrar-understøttelse. Din registrar skal kunne udgive en DS-record til topdomænet. Det kan de fleste, men det er værd at tjekke.

Tjek dit domæne

Vil du vide, om dit domæne allerede er signeret? Kør et gratis DNS-sikkerhedstjek og se status på DNSSEC og din øvrige navneserveropsætning med det samme.