Mis on DNSSEC?

DNSSEC ehk Domain Name System Security Extensions (eesti keeles domeeninimede süsteemi turvalaiendused) on turvavõtmete süsteem, mis tagab, et internetilehekülg kuhu kasutaja suunatakse on see, mille aadressi ta veebilehitsejasse sisestas. Näiteks tagab DNSSEC, et sisestades veebilehitseja aadressiribale oma internetipanga veebiaadressi, ei suunata kasutajat sarnase väljanägemisega lehele, mis on petturite poolt andmete ja paroolide varastamiseks üles seatud.

Mis on DNSSEC? from RIA on Vimeo.

Domeeniomanik! Kaitstes domeeni DNSSEC turvalaiendusega, hoolid oma veebilehe külalistest ning aitad muuta Eesti internetti turvalisemaks.

Video on valminud Euroopa Liidu struktuurivahendite programmist "Infoühiskonna teadlikkuse tõstmine" Euroopa Regionaalarengu Fondi rahastusel ja Riigi Infosüsteemi Ameti tellimusel.

DNSSEC ja Eesti internetikasutaja

EIS-i üks ülesannetest on .ee domeeninimede infosüsteemi usaldusväärsuse ja turvalisuse tagamine. DNSSEC on üle maailma saamas domeeninimede süsteemides standardiks ning tagamaks nii domeeniomanike kui ka lõppkasutajate turvalisust on EIS alustanud DNSSEC võimekuse arendamist ka .ee lõpuga domeenidele.

EIS-i eesmärk on, et 2014 a. on igal domeeni registreerijal võimalik ka oma .ee lõpuline domeen DNSSEC-iga kaitsta, vähemalt üks registripidaja ja vähemalt üks internetiühenduse pakkuja (inglise k internet service provider ehk ISP) on DNSSEC-i rakendanud ning vähemalt üks domeeniomanik on oma domeeni DNSSEC-iga ära turvanud. EIS tegutsed selle nimel, et kõik Eesti domeenid mis on seotud tundlike isikuandmete või finantstehingutega, nagu e-pangad, riiklikud portaalid, e-poed, oleksid DNSSECi-ga kaitstud.

.ee domeenisüsteemi kaitsmine DNSSEC-iga on oluline samm turvalise interneti poole Eestis.

Kuidas DNSSEC töötab?

Kui lõppkasutaja veebilehitsejasse aadressi sisse trükib, tehakse esmalt päring internetiühenduse pakkuja nimeserverisse, mis omakorda saadab päringu rahvusvahelisse juurnimeserverisse, konkreetse tippdomeeni nimeserverisse ja lõpuks otsitud domeeni teenindavale nimeserverile, saades lõpuks vastuseks otsitud kodulehekülje IP-aadressi. Iga selline serverite vaheline andmete liigutamine pakub aga võimalusi küberkurijategijatele valeandmete sisestamiseks suhtlusesse. See tähendab, et turvalisuse tagamiseks peavad kõik ahela osad, mida kasutaja arvutist saadetud päring läbib, olema DNSSEC-i rakendanud või sellest teadlikud.

DNS-i (Domain Name System) ehk domeeninimede süsteemi võib võrrelda virtuaalse telefoniraamatuga, mis tõlgib inimsõbralikud veebilehtede nimed arvutitele arusaadavaks numbrite jadaks, mida nimetatakse IP-aadressiks. Näiteks Eesti Interneti SA kodulehe www.internet.ee IP-aadress on 195.43.87.74.

DNSSEC lisab kõikidele DNS päringu vastustele allkirjad ning võimaluse allkirja õigsuse kontrolliks, tagades nii kindluse, et kasutaja poolt külastatav interneti lehekülg on tõepoolest see, mida ta kasutada soovis.

DNSSEC-i kontrollimine koduarvutist

Praegu tuleb kasutajal veel ise vaeva näha, et veenduda kas konkreetne kodulehekülg on DNSSEC-iga kaitstud ja ta on suunatud õigele lehele. Selleks on kõigi tuntumate veebilehitsejate jaoks olemas vastavad pistikprogrammid (ingl k plugins), mille kasutaja peab oma arvutisse paigaldama.

DNSSEC üle maailma

Esimesed riigid, mis rakendasid DNSSEC-i tippdomeeni tasemel olid Brasiilia, Bulgaaria, Tšehhi Vabariik, Puerto Rico ja Rootsi. Public Internet Registry rakendas DNSSEC-i .org tsoonis 2. juunil 2009. VeriSign, mis haldab muuhulgas .com ja .net tippdomeene, alustas turvalaiendite kasutusele võtmist 2009 aasta juunis. Lisaks on rahvusvaheline domeenide halduse katusorganisatsioon ICANN seadnud kõigile uutele rahvusvahelistele üldtippdomeenide (gTLD) haldajatele nõude DNSSEC-i rakendada. DNSSECiga on kaitstud ka .eu tsoon. DNSSEC-i on kasutusele võtnud või plaanib kasutusele võtta enamik Euroopa riike, sh Eesti.

Ülevaate DNSSECi leviku kohta maailmas saab näiteks siit: http://www.internetsociety.org/deploy360/dnssec/maps/