Kyberturvallisuus

DNS-asetukset ja DNSSEC pk-yritykselle 2026 — domain-tason turva

DNSSEC suojaa domainisi DNS-vastaukset väärennöksiltä. Suomessa enemmistö .fi-domaineista on yhä ilman sitä — näin korjaat tilanteen 15 minuutissa.

Olli Junes · · 9 min

Pk-yrityksen tietoturvasta puhutaan yleensä palomuurien, salasanojen ja sähköpostisuodattimien kautta. Yksi kerros jää lähes aina mainitsematta: domain-nimen oma turvallisuus. Kun joku kirjoittaa selaimeen yrityksesi osoitteen, hänen koneensa kysyy DNS-palvelimelta minkä IP-osoitteen takana sivusto on. Tähän kysymys-vastaus-ketjuun voi syöttää väärän vastauksen, eikä loppukäyttäjä huomaa mitään. DNSSEC sulkee tämän aukon kryptografisella allekirjoituksella. Suomen pk-yrityksissä se on lähes aina pois päältä, vaikka käyttöönotto kestää vartin.

Mikä DNSSEC on ja miksi se on olemassa

DNS (Domain Name System) on internetin osoitekirja, joka muuntaa luettavat osoitteet kuten esimerkkiyritys.fi IP-numeroiksi. Kysely kulkee tyypillisesti operaattorin DNS-palvelimen kautta ja päätyy lopulta sen tahon palvelimelle, joka tietää oikean vastauksen. Tämä ketju suunniteltiin 1980-luvulla, jolloin internet oli pieni ja luotettu verkosto. Salausta tai allekirjoitusta ei tarvittu, koska kukaan ei ajatellut tarvittavan.

Ongelma havaittiin viimeistään 2008, kun Dan Kaminsky julkisti haavoittuvuuden, jolla hyökkääjä saattoi syöttää väärennettyjä DNS-vastauksia välimuistiin (cache poisoning). Vaikutus: käyttäjä kirjoittaa pankin osoitteen oikein, koneen DNS-välimuisti palauttaa hyökkääjän IP-osoitteen, käyttäjä päätyy phishing-sivulle. Selain ei näytä mitään varoitusta, koska osoitepalkissa lukee oikea domain.

DNSSEC (Domain Name System Security Extensions) lisää jokaiseen DNS-vastaukseen kryptografisen allekirjoituksen. Allekirjoituksen voi tarkistaa julkisella avaimella, joka on talletettu ylätason rekisteriin — Suomen .fi-domaineilla Traficomin ylläpitämään rekisteriin. Jos välissä joku muuttaa vastausta, allekirjoitus ei enää täsmää ja resolveri hylkää vastauksen. Domainin ja resolverin välinen luottamusketju on katkeamaton.

Suomen tilanne 2026: enemmistö .fi-domaineista on suojaamatta

Arviot vaihtelevat hieman lähteen mukaan, mutta tilannekuva on melko yhtenäinen. DNSSEC on käytössä suuntaa antavasti 30–60 prosentilla aktiivisista .fi-verkkotunnuksista. Pk-yritysten verkkotunnuksissa osuus on tyypillisesti matalampi, koska monet käyttävät rekisteröijiä tai webhotelleja, joissa DNSSEC ei ole oletuksena päällä. Käytännössä valtaosa suomalaisista pk-yrityksistä on niiden 40–70 prosentin joukossa, joilla suoja ei ole asetettu.

Lukema kuulostaa abstraktilta, mutta käännetään se konkreettiseksi: jos yrityksesi domain on rekisteröity 2010-luvulla eikä DNSSEC-painiketta ole erikseen kytketty päälle, todennäköisyys että suoja on pois käytöstä on suurempi kuin että se olisi käytössä. Tämä koskee niin tilitoimistoja, lakitoimistoja, terveyspalveluja kuin verkkokauppoja. Aukko on demokraattinen.

Miksi pk-yrityksen kannattaa kytkeä DNSSEC päälle

Pk-yritys ei ole tyypillinen kohde valtiollisille DNS-hyökkäyksille, mutta se on tyypillinen kohde rikolliselle phishing-toiminnalle. Skenaariot, joissa puuttuva DNSSEC voi sattua:

Asiakkaan sähköposti ohjautuu väärään paikkaan. MX-tietueet (sähköpostipalvelimen osoite) ovat osa DNS:ää. Jos hyökkääjä saa cache-poisoning-hyökkäyksen läpi tietyssä operaattorin resolverissa, asiakkaiden viestit yritykselle voivat ohjautua hetkellisesti hyökkääjän palvelimelle. Hyökkääjä lukee viestit, kerää liitteet ja päästää viestit eteenpäin alkuperäiseen MX:ään. Yrittäjä ei välttämättä huomaa mitään, koska viestit tulevat lopulta perille.

Verkkosivut korvataan väärennöksellä. Tilitoimistoasiakkaan kirjautumissivu, verkkokaupan ostoskori tai pankkitietolomake voi näyttää selaimessa identtiseltä, mutta lähettää tiedot väärään paikkaan. HTTPS-lukko suojaa selainta ja oikeaa palvelinta, mutta ei auta jos käyttäjä ohjataan väärälle palvelimelle, jolla on oma laillinen sertifikaatti aliasdomainille.

Sähköpostin maine kärsii. Jos puuttuvan DNSSEC:in seurauksena yrityksen nimissä lähtee phishing-viestejä, vastaanottavat operaattorit alkavat luokitella koko domainia epäluotettavaksi. Aitokin laskutus jää saamatta, koska se päätyy roskakoreihin.

Hyökkäykset ovat harvinaisia, mutta seuraukset eivät jakaudu tasaisesti. Yksikin onnistunut tapaus voi viedä viikon selvittelyihin ja maksaa enemmän kuin koko domain-budjetin viideksi vuodeksi. Korjaus on viidentoista minuutin kytkentä.

Tekninen käyttöönotto vaihe vaiheelta

1. Tarkista nykytila

Ennen kuin koskee mihinkään, kannattaa varmistaa onko DNSSEC jo päällä. Kaksi ilmaista verkkotyökalua antavat selkeän vastauksen:

  • dnsviz.net/d/yrityksenosoite.fi näyttää graafin luottamusketjusta. Vihreä ketju Traficomin juuresta domainisi DNS-palvelimelle tarkoittaa että DNSSEC on käytössä ja toimii.
  • dnssec-analyzer.verisignlabs.com antaa samat tiedot tekstimuodossa ja kertoo onko DS-tietue (Delegation Signer) rekisteröity ylätasolle.

Jos kumpikin näistä raportoi "no DNSSEC signatures found" tai "insecure", domainisi on suojaamaton. Jos näkyvissä on RRSIG-tietueita ja luottamusketju on ehjä, työ on jo tehty.

2. Kytke DNSSEC päälle rekisteröijän paneelista

Suurin osa nykyaikaisista suomalaisista rekisteröijistä (Domainkeskus, Loopia, Zoner, Hostingpalvelu, Resahost) tarjoaa DNSSEC:in yhden napin valintana hallintapaneelin domain-asetuksissa. Painikkeen nimi vaihtelee — "DNSSEC", "Domain Security" tai "Suojaa verkkotunnus" — mutta toiminta on sama. Kun nappia painaa, rekisteröijä luo avainparin, allekirjoittaa vyöhykkeen ja lähettää DS-tietueen Traficomille.

Tekninen prosessi tapahtuu sekunneissa: rekisteröijän DNS-palvelin luo Zone Signing Keyn (ZSK) ja Key Signing Keyn (KSK), allekirjoittaa kaikki vyöhykkeen tietueet (A, AAAA, MX, TXT) RRSIG-tietueilla ja generoi KSK:sta DS-tiivisteen. DS-tiiviste välitetään Traficomin rekisteriin EPP-protokollalla. Tämän jälkeen .fi-ylätason DNS-palvelin osaa kertoa kysyjälle, että domainisi vastauksiin pitää löytyä RRSIG-allekirjoitus, joka on validoitavissa juuri tällä avaimella.

Jos käytössä on vanha tai pieni rekisteröijä, jolla painiketta ei ole, vaihtoehtoja on kaksi: pyydä rekisteröijältä DNSSEC manuaalisesti tai siirrä domain rekisteröijälle, jossa se on vakio-ominaisuus. Siirto on tavallisesti kymmenen minuutin operaatio ja maksaa saman kuin yhden vuoden uusinta.

3. Vahvista että muutos meni läpi

Päivitys ylätason rekisteriin voi kestää muutamasta minuutista muutamaan tuntiin. Aja sama tarkistus (dnsviz.net tai dnssec-analyzer) uudelleen seuraavana päivänä. Jos luottamusketju näkyy nyt vihreänä, työ on valmis. Mitään asetuksia palvelimelle tai paikallisesti ei tarvitse muuttaa — DNSSEC on resolverin ja ylätason rekisterin välinen sopimus, johon päätelaitteet eivät osallistu.

4. Tarkista samalla muut DNS-perusasetukset

Kun olet jo paneelissa, kannattaa varmistaa että DNS:n perusrivit ovat kunnossa. Vähintään: A- tai AAAA-tietue osoittaa verkkosivun palvelimelle, MX-tietueet osoittavat sähköpostipalvelimelle, SPF-, DKIM- ja DMARC-tietueet ovat asetettu sähköpostille (näistä erikseen SPF, DKIM ja DMARC -oppaassa) ja TTL-arvot ovat järkeviä (300–3600 sekuntia tavallisille tietueille).

MTA-STS: sama henki, eri standardi

DNSSEC suojaa DNS-vastauksia. Sen sähköpostinen rinnakkaisstandardi on MTA-STS (Mail Transfer Agent Strict Transport Security), joka pakottaa lähettävät sähköpostipalvelimet käyttämään TLS-salausta yrityksesi MX-palvelimelle. Ilman MTA-STS:ää reitin varrella oleva hyökkääjä voi pakottaa palvelimet putoamaan takaisin salaamattomaan yhteyteen — DNSSEC ei tätä estä.

Suomessa MTA-STS on edelleen marginaalisessa käytössä. PowerDMARC:n otoksessa alle prosentilla suomalaisista domaineista oli MTA-STS-tietue. DNSSEC ja MTA-STS tekevät yhdessä sen, että hyökkääjän on vaikea väärentää sekä DNS-vastauksia että sähköpostin reittiä. Erikseen kumpikin sulkee yhden aukon. Aiheeseen syvemmin salatun sähköpostin oppaassa.

Yhteys NIS2-velvoitteisiin

Suomen kyberturvallisuuslaki (124/2025), joka panee toimeen EU:n NIS2-direktiivin, astui voimaan keväällä 2025. Laki ei mainitse DNSSEC:iä nimeltä, mutta velvoittaa kriittisten ja merkittävien sektoreiden toimijat toteuttamaan "asianmukaiset ja oikeasuhteiset tekniset, operatiiviset ja organisatoriset toimenpiteet" tietoturvariskien hallitsemiseksi. Lain perusteluissa ja Traficomin ohjeistuksessa DNSSEC luokitellaan domain-tason perusturvaksi, joka kuuluu kohtuullisten toimien minimitasoon.

Pk-yritys, joka kuuluu NIS2:n piiriin (terveydenhuolto, energia, vesi, digitaali-infra, julkishallinnon alihankinta, elintarviketuotanto tietyssä mittakaavassa), saa todennäköisesti viranomaiskysymyksiä DNSSEC-tilanteestaan ennemmin tai myöhemmin. Pk-yritys, joka ei kuulu suoraan piiriin, voi joutua vastaamaan asiakkaan tai vakuutusyhtiön kyselyihin. Sen selvittäminen kuuluuko oma yritys NIS2:n piiriin on oma kysymyksensä, mutta DNSSEC kannattaa kytkeä riippumatta vastauksesta.

Kustannukset ja jatkuva ylläpito

DNSSEC:in käyttöönotto on tyypillisesti maksuton, jos rekisteröijä tarjoaa sen vakio-ominaisuutena. Avainten rotaatio (key rollover) tapahtuu rekisteröijän automaation kautta, eikä pk-yrittäjän tarvitse muistaa mitään. Jos rekisteröijä veloittaa DNSSEC:istä erikseen, kyse on yleensä muutamasta eurosta vuodessa.

Riski DNSSEC:in käyttöönotossa on yksi: jos avainten rotaatio epäonnistuu, domain voi mennä hetkellisesti pimeäksi DNSSEC-validoivilta resolvereilta. Tämä on yksi syy, miksi monet vanhat rekisteröijät eivät kytke sitä päälle oletuksena — vastuu ja tuki vaativat osaamista. Nykyaikaisilla rekisteröijillä, joilla DNSSEC on tuotteistettu, riski on käytännössä eliminoitu.

Käytännön muistutus DNS-palveluntarjoajan vaihdosta: jos siirrät domainin toiselle rekisteröijälle, vanha DNSSEC-avain pitää purkaa ennen siirtoa tai siirron yhteydessä. Muuten uusi palvelu allekirjoittaa vyöhykkeen omilla avaimillaan, mutta Traficomin rekisterissä on yhä vanha DS-tietue. Lopputulos: validoivat resolverit hylkäävät vastaukset ja domain näkyy "ei löydy" -tilana niille käyttäjille, joiden operaattori tekee DNSSEC-tarkistuksia. Hyvä rekisteröijä hoitaa tämän siirron osana, mutta tarkista asia ennen kuin painat siirtonappia.

Yleisimmät virheet ja miten ne välttää

Kytketään päälle, mutta DS-tietuetta ei rekisteröidä. Joissakin paneeleissa DNSSEC-painike vain allekirjoittaa vyöhykkeen omalla DNS-palvelimella, mutta avaimen tiivisteen lähettäminen Traficomille on erillinen vaihe. Lopputulos näyttää sisäisesti toimivalta, mutta ulkoinen validointi epäonnistuu. dnsviz.net kertoo tämän heti: graafi on katkennut .fi-tasolla.

Yhdistetään DNSSEC ja CNAME apex-tasolla. CNAME-tietuetta ei saa olla domainin juuressa (esim. esimerkkiyritys.fi) DNSSEC:in ollessa päällä. Tämä on harvinainen mutta toistuva ongelma, kun yrittäjä yrittää osoittaa juuridomainin pilvipalvelun (Vercel, Netlify, Cloudflare Pages) hostnameen. Käytä ALIAS- tai ANAME-tietuetta jos DNS-palveluntarjoaja tukee, tai vaihtoehtoisesti A-tietuetta IP-osoitteeseen.

Unohdetaan tarkistaa vahingossa rikkoutuneen luottamusketjun jälkeen. Jos vaihdat nimipalvelimet (NS-tietueet) säilyttämättä DNSSEC-asetuksia, voit huomata vahingon vasta kun asiakas soittaa eikä pääse sivustolle. Tarkistus seuraavana päivänä on nopea ja kannattava rutiini jokaisen DNS-muutoksen jälkeen.

Yksinkertainen tarkistuslista

  • Aja dnsviz.net/d/yrityksenosoite.fi tänään ja tarkista onko luottamusketju ehjä
  • Jos ei, kirjaudu rekisteröijän paneeliin ja kytke DNSSEC päälle
  • Tarkista samalla SPF, DKIM, DMARC ja MX-tietueet
  • Aja DNSSEC-tarkistus uudelleen seuraavana päivänä
  • Merkitse työ valmiiksi, palaa asiaan vasta kun vaihdat rekisteröijää tai palvelinta

Resahost ja DNSSEC oletuksena

Resahostissa DNSSEC on kytketty päälle oletuksena kaikille uusille .fi-verkkotunnuksille, jotka rekisteröidään palvelun kautta. Olemassa olevissa asiakkuuksissa tila näkyy hallintapaneelista, ja kytkentä tapahtuu yhdellä napilla. Lähestymistapa on osa laajempaa yhden oven mallia: domain, DNS, sähköposti ja webhotelli yhdeltä toimijalta, jolloin tietoturva-asetukset eivät jää eri palveluiden raja-aitojen vangiksi.

Aiheeseen liittyviä oppaita: mikä DNS on pk-yrittäjälle, SPF, DKIM ja DMARC -konfiguraatio ja sähköpostin salauksen tasot.