KUIDAS KONTROLLIDA DNSSEC-I?

DNSSEC-i kontrollimiseks on kaks varianti - kas kontrollida ise või lasta teistel kontrollida enda eest.

KUIDAS ISE KONTROLLIDA?

Kui internetikasutaja soovib kontrollida, kas külastatav internetilehekülg on DNSSEC-iga kaitstud, ning kas DNSSEC-i allkirjad on korrektsed, tuleb tal oma veebilehitsejasse (browser) paigaldada sobilik pistikprogramm (plugin). Hetkel ei ole enamlevinud veebilehitsejatesse DNSSEC-i tuge sisse ehitatud, kuid tasuta pistikprogrammid on olemas neist enamuse jaoks.

Mozilla Firefox

DNSSEC/TLSA Validator: Tšehhi domeeniregistri poolt arendatud pistik, mis lisaks DNSSEC-ile kontrollib ka TLSA (ehk DANE) võtmete õigsust:

https://www.dnssec-validator.cz/pages/download.html

DNSSEC Validator: Samuti Tšehhi domeeniregistri poolt arendatud pistikprogramm, mis kontrollib vaid DNSSECi võtmeid. Leitav ka Mozilla lisade haldurist:

https://addons.mozilla.org/en-us/firefox/addon/dnssec-validator/

Google Chrome

DNSSEC/TLSA Validator: Tšehhi domeeniregistri poolt arendatud pistik, mis lisaks DNSSEC-ile kontrollib ka TLSA (ehk DANE) võtmete õigsust:

https://www.dnssec-validator.cz/pages/download.html

DNSSEC Validator: Samuti Tšehhi domeeniregistri poolt arendatud pistikprogramm, mis kontrollib vaid DNSSECi võtmeid:

https://chrome.google.com/webstore/detail/dnssec-validator/hpmbmjbcmglolhjdcbicfdhmgmcoeknm

Internet Explorer

DNSSEC/TLSA Validator: Tšehhi domeeniregistri poolt arendatud pistik, mis lisaks DNSSEC-ile kontrollib ka TLSA (ehk DANE) võtmete õigsust:

https://www.dnssec-validator.cz/pages/download.html

Apple Safari, Opera, Seamonkey

Nimetatud veebilehitsejatele ei ole hetkel teada ühtegi pistikut. Siiski, tšehhid on teada andnud, et DNSSEC/TLSA Validator versiooniga 2.2 lisandub tugi ka neile. 07.01.2014 oli väljas versioon 2.1.0-rc1.

KUIDAS TEISED KONTROLLIVAD?

Suhtlus internetis käib läbi lahendavate nimeserverite (resolver), mis lahendavad meie poolt veebilehitseja aadressiribale sisestatu IP-aadressiks. Valdav enamus internetikasutajaid kasutab oma internetiteenuse pakkuja lahendava nimeserveri teenust.

Eesti suurtest internetiteenuse pakkujatest lülitas augustis 2013 DNSSEC-i kontrolli sisse Elion. Elionile järgnes EMT ja veeburaris 2014 Infonet, kelle teenuseid kasutavad kõik STV kliendid. Internetikasutajad, kes pole Elioni, EMT või STV kliendid, võiksid sama ka oma teenuse pakkujalt nõuda!

Kontrolli kas sinu interneti teenuse pakkuja toetab DNSSECi selle Hollandi domeeniregistri poolt arendatud testiga: http://dnssectest.sidn.nl/index.php

Lisaks on võimaliks kontrollida nii oma lahendava nimeserveri DNSSECi tuge kui ka sirviku pistikute tööd nende Eesti Interneti SA katkise usaldusahelaga test domeenide abil:

Kui saad teate, et lehte pole võimalik kuvada ja sirviku pistik näitab punast võtmekest on kõik korras - sinu kasutatav lahendav nimeserver sai aru, et selle lehe DNSSECi võtmetes esineb viga ja ei näita Sulle Su enda kaitseks seda lehte.

Ka Google avatud lahendavad nimeserverid toetavad DNSSEC-i. Need leiab aadressidelt:

  • IPv4: 8.8.8.8, 8.8.4.4
  • IPv6: 2001:4860:4860::8888, 2001:4860:4860::8844

Kasutades DNSSEC-i kontrolliva lahendava nimeserveri teenust, saab kasutaja olla kindel, et talle kuvatav DNSSEC-iga kaitstud lehekülg on õige, sest vastasel korral ei näidata lehekülge üldse.