Krypterer DNSSEC vores DNS-trafik?

Nej. DNSSEC giver autenticitet og integritet — beviset for at svaret er ægte — ikke fortrolighed. Kryptering af selve opslagene er en separat disciplin (DoT/DoH).

Kan DNSSEC tage vores domæne ned?

Fejlkonfiguration — typisk en forældet DS-record efter udbyderskifte — kan få validerende resolvere til at afvise domænet. Det er argumentet for automatiseret nøglehåndtering og en tjekliste ved flytninger, ikke imod DNSSEC.

Ikke direkte i NIS2-loven, men myndighedsvejledninger og bedste praksis for DNS- og mailsikkerhed peger entydigt på det, og det optræder i stigende grad i leverandørspørgeskemaer. For offentlige kunder er forventningen reelt et krav.

Hvad er forholdet mellem DNSSEC og DANE?

DANE publicerer TLSA-records i DNS, der binder certifikater til jeres tjenester — men kun DNSSEC gør de records troværdige. Uden DNSSEC kan DANE ikke valideres og giver ingen beskyttelse.

Viden

Hvad er DNSSEC — og hvorfor er usigneret DNS et åbent flankeangreb?

DNSSEC (Domain Name System Security Extensions) er en udvidelse af DNS, der signerer DNS-svar kryptografisk, så modtageren kan verificere, at svaret er ægte og uændret. Uden DNSSEC kan en angriber i princippet forfalske DNS-svar og sende brugere — eller mail — til angriberens egne servere, uden at nogen opdager det. DNSSEC beskytter ikke indholdet af trafikken, men garanterer, at man taler med den rigtige adresse.

Udgivet: 14. juni 2026Opdateret: 14. juni 2026Læsetid: 5 min.

Hvilket problem løser DNSSEC?

Klassisk DNS er fra en tid uden trusselsbillede: Svar sendes usigneret, og den, der spørger, stoler på det første svar, der kommer. Det åbner for DNS-spoofing og cache poisoning, hvor en angriber planter falske svar i en DNS-resolver — hvorefter alle dens brugere sendes til forkerte servere, når de slår jeres domæne op. Konsekvensen kan være alt fra phishing-sider på “jeres” adresse til omdirigeret mailflow. DNSSEC lukker hullet ved at gøre forfalskede svar matematisk afslørbare: Et svar uden gyldig signatur kasseres.

Hvordan virker DNSSEC?

Hver zone signerer sine DNS-data med private nøgler og publicerer de tilhørende offentlige nøgler i DNS. Tilliden bygges som en kæde: Rodzonen signerer en hash af .dk-zonens nøgle (en DS-record), .dk signerer jeres domænes DS-record, og jeres zone signerer sine egne records. En validerende resolver kan dermed følge kæden fra roden hele vejen ned og afvise alt, der ikke hænger sammen.

I praksis håndteres signering og nøglerul i dag automatisk af DNS-udbyderen — den klassiske frygt for “DNSSEC vælter driften” hører mest fortiden til, hvis registrator og DNS-udbyder spiller sammen.

Hvad har DNSSEC med mailsikkerhed at gøre?

Mere end de fleste tror. Jeres SPF-, DKIM- og DMARC-politikker bor i DNS — kan DNS-svar forfalskes, kan politikkerne det i princippet også. Og vigtigst: DANE/MTA-STS-laget. DANE, der binder TLS-certifikater til domænet og tvinger krypteret mailtransport, kræver DNSSEC for at virke. DNSSEC er altså ikke kun “hygiejne” — det er fundamentet under den stærkeste form for transportsikring af mail. Et domæne med DNSSEC, DANE, MTA-STS og håndhævet DMARC er om noget signalet på en afsender, der har styr på sin tekniske posture.

Hvordan kommer I i gang?

Tre skridt: Tjek først status (fx med DNSViz eller Verisigns DNSSEC-debugger — eller et simpelt opslag efter DS-records). Slå derefter signering til hos jeres DNS-udbyder — hos de fleste moderne udbydere er det et enkelt valg — og få DS-recorden registreret hos registrator/.dk. Overvåg til sidst, at kæden validerer, og hav en procedure for nøglerul og for, hvad der skal ske før I skifter DNS-udbyder (DS-recorden skal håndteres korrekt, ellers fejler validering). I Danmark er DNSSEC-udbredelsen blandt de højeste i verden — at mangle det stikker ud.

Ofte stillede spørgsmål

Krypterer DNSSEC vores DNS-trafik?
Nej. DNSSEC giver autenticitet og integritet — beviset for at svaret er ægte — ikke fortrolighed. Kryptering af selve opslagene er en separat disciplin (DoT/DoH).
Kan DNSSEC tage vores domæne ned?
Fejlkonfiguration — typisk en forældet DS-record efter udbyderskifte — kan få validerende resolvere til at afvise domænet. Det er argumentet for automatiseret nøglehåndtering og en tjekliste ved flytninger, ikke imod DNSSEC.
Er DNSSEC et krav?
Ikke direkte i NIS2-loven, men myndighedsvejledninger og bedste praksis for DNS- og mailsikkerhed peger entydigt på det, og det optræder i stigende grad i leverandørspørgeskemaer. For offentlige kunder er forventningen reelt et krav.
Hvad er forholdet mellem DNSSEC og DANE?
DANE publicerer TLSA-records i DNS, der binder certifikater til jeres tjenester — men kun DNSSEC gør de records troværdige. Uden DNSSEC kan DANE ikke valideres og giver ingen beskyttelse.

Kilder

RFC 4033–4035 (DNSSEC), RFC 7672 (DANE for SMTP)

DK Hostmaster/Punktum dk: DNSSEC for .dk-domæner

Styrelsen for Samfundssikkerhed: vejledninger om net- og informationssikkerhed (samsik.dk)

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Hvad er DNSSEC — og hvorfor er usigneret DNS et åbent flankeangreb?

Hvilket problem løser DNSSEC?

Hvordan virker DNSSEC?

Hvad har DNSSEC med mailsikkerhed at gøre?

Hvordan kommer I i gang?

Ofte stillede spørgsmål

Krypterer DNSSEC vores DNS-trafik?

Kan DNSSEC tage vores domæne ned?

Er DNSSEC et krav?

Hvad er forholdet mellem DNSSEC og DANE?

Kilder

Vil I have styr på det i praksis?

Vil I have styr på det i praksis?