Dnssec

Meillä on tapana tänäpäivänä salata kaikki mahdollinen liikenne ja varmistaa tietojen aitouksia. Verkkosivuilla on käytössä SSL/TLS-pohjainen HTTPS-yhteys, joka suojaa liikenteen esimerkiksi tähän sivustolle. Lisäksi käytämme tarvittaessa erilaisia VPN-yhteyksiä. Mutta yksi erikoisuus on siis että nimipalvelinliikennettä ei suojata tänäpäivänä oikein mitenkään. Se on siis täysin salaamatonta! Nimipalvelin on internetin puhelinluettelo Nimipalvelin on yksinkertaisuudessa internetin puhelinluettelo. Sielä on nimiä (verkko-osoitteita, kuten mt-tech.fi) ja IP-osoitteita kuten 185.168.204.248 tai 2a0b:a700:2:1::103. Kysymme siis usein nimipalvelimelta minne haluamme mennä ja se kertoo meille sitten IP-osoitteen. Tämä olisi sama juttu kun soitettaisiin Fonectalle ja kysyttäisiin puhelinnumeroa. ...

DNSSEC on nimipalvelun (DNS) tietoturvalaajennus, jonka tehtävänä on varmistaa alkuperäisten tietojen eheys ja alkuperä. Tämä tarkoittaa että DNSSECin avulla voidaan varmistaa, ettei tietoja ole muutettu missään välimatkalla. DNSSEC ei salaa nimipalvelinkyselyitä vaan lisää nimipalvelinkyselyihin allekirjoitukset. Allekirjoitukset varmistetaan puumaisesti jokaiseen verkkotunnusjuureen asti. DNSSECin tehtävänä ei ole korvata SSL/TLS-tekniikkaa, jota käytetään verkkosivuilla yhteyden salamiseen, vaan sen tarkoitus on täydentää tätä. Jo ennen SSL/TLS yhteyden muodostamista, DNSSEC estää käyttäjän päätymisen väärälle palvelimelle. DNSSEC ei suojaa tietojenkalastelulta, mutta se suojaa tehokkaasti nimipalveluihin kohdistuvilta hyökkäyksiltä. Tämä on todella tärkeää, sillä monet tunnistavat kyllä tietojenkalastelu yritykset mutta eivät nimipalveluihin kohdistuvia hyökkäyksiä. ...

DANE on DNSSEC in laajennos, joka mahdollistaa SSL/TLS-varmenteiden varmennuksen, eli varmistamaan että verkkopalvelu oikeaa SSL-varmennetta. Verkossa on mahdollista esimerkiksi palomuurilla pysäyttää TLS-yhteys ja luoda sen uudelleen. Kuvittelet tällöin että yhteys pankkiisi on suojattu, vaikka siihen on tehty välimies hyökkäys ja muiden on mahdollista nähdä mitä teet pankissa ja mahdollisesti varastaa istunnon. Miksi DANE? Erityisesti DANE:n merkitys on tärkeämpi sähköpostipalvelinten yhteyksissä, sillä SMTP:ssä ei ole samanlaista standardia salauksella kuin HTTP-puolella. SSL-varmenteet toimivat yksinkertaisesti niin, että joku luotettu varmenteenmyöntäjä vahvistaa, että sivusto on aito. Kuitenkin näitä varmenteen myöntäjiä on tuhansia, joten emme voi luottaa pelkästään näihin varmenteen myöntäjiin. Normaalissa HTTPS-yhteydessä sivuston vierailijan selain tarkistaa että onko SSL-varmenne aito ja luotettava, mutta sähköpostiliikenteessä tätä ei voi tehdä, sillä loppukäyttäjä ei pysty varmentamaan onko kaksi sähköpostipalvelinta yhteydessä SSL:nä ja onko tätä postiliikennettä varmennettu. ...

DNSSEC (Domain name System Security Extensions) on nimipalvelun tietoturvaa parantava laajennus. Tämä on mahdollista ottaa myös FI-verkkotunnukselle maksutta käyttöön. DNSSEC varmistaa nimipalvelimelta saatavien tietojen alkuperän ja eheyden. Kun DNSSEC on käytössä fi-verkkotunnuksella, saadaan vastaukset nimipalvelukyselyihin allekirjoitettuna. DNSSEC varmistaa että nimipalvelukyselyt saadut vastaukset tulevat oikealta lähettäjältä eikä vastaustiedostoja ole muokattu. Näin pääset kyseiselle verkkosivulle minne oli aikomus mennä. MT-TECH.FI verkkosivutkin on suojattu DNSSEC:illä, tämän voit tarkistaa vaikka täältä. Viestintäviraston käyttämät parametrit ovat: ...