Что такое DNSSEC и стоит ли включать его на своем веб-сайте?
DNS был разработан более 30 лет назад, когда безопасность не была в центре внимания Интернета. Без дополнительной защиты злоумышленники MITM могут подделывать записи и направлять пользователей на фишинговые сайты. DNSSEC кладет этому конец, и его легко включить.
DNS сам по себе небезопасен
В системе DNS нет встроенных методов для проверки того, что ответ на запрос не был подделан или какая-либо другая часть процесса не была прервана злоумышленником. Это проблема, потому что всякий раз, когда пользователь хочет подключиться к вашему веб-сайту, ему приходится выполнять поиск DNS, чтобы преобразовать ваше доменное имя в пригодный для использования IP-адрес. Если пользователь подключается из небезопасного места, например из кафе, злоумышленники могут оказаться в середине и подделать записи DNS. Эта атака может позволить им перенаправить пользователей на вредоносную страницу, изменив запись IP-адреса A.
К счастью, есть решение — DNSSEC, также известное как расширения безопасности DNS, устраняет эти проблемы. Он защищает поиск DNS, подписывая записи DNS с помощью открытых ключей. Если DNSSEC включен, если пользователь получает вредоносный ответ, его браузер может это обнаружить. У злоумышленников нет закрытого ключа, используемого для подписи законных записей, и они больше не могут выдать подделку.
Подписание ключей DNSSEC проходит по всей цепочке вверх. Когда вы подключаетесь к example.com, ваш браузер сначала подключается к корневой зоне DNS, управляемой IANA, а затем к каталогу для расширения (например, .com). , а затем на серверы имен для вашего домена. Когда вы подключаетесь к корневой зоне DNS, ваш браузер проверяет правильность ключа подписи корневой зоны, управляемого IANA, а затем ключа подписи каталога .com (подписанного корневой зоной), затем ключ подписи для вашего сайта, который подписан каталогом .com и не может быть подделан.
Стоит отметить, что в ближайшем будущем это не будет такой большой проблемой. DNS переходит на HTTPS, что защитит его от всех видов MITM-атак, сделает DNSSEC ненужным, а также предотвратит слежку интернет-провайдеров за вашей историей посещенных страниц, что объясняет, почему Comcast лоббирует его. Однако в настоящее время это необязательная функция в Chrome и Firefox (поддержка операционной системы скоро появится в Windows), поэтому вы все равно захотите включить DNSSEC.
Как включить DNSSEC
Если вы используете веб-сайт, особенно тот, который обрабатывает пользовательские данные, вам нужно включить DNSSEC, чтобы предотвратить любые векторы атак DNS. В этом нет недостатков, если только ваш провайдер DNS не предлагает его только как «премиальную» функцию, как это делает GoDaddy. В этом случае мы рекомендуем перейти к правильному провайдеру DNS, такому как Google DNS, который не будет платить вам ни копейки за базовую безопасность. Вы можете прочитать наше руководство по его использованию здесь или узнать больше о переносе домена.
Если вы используете Google Domains, для настройки достаточно одной кнопки, которая находится в консоли домена в разделе «DNS» на боковой панели. Установите флажок «Включить DNSSEC». Это займет несколько часов, чтобы завершить и подписать все необходимые ключи. Google Domains также полностью поддерживает DNS через HTTPS, поэтому пользователи, у которых это включено, будут в полной безопасности.
Для Namecheap эта опция также является просто переключателем в разделе «Расширенный DNS» в настройках домена и совершенно бесплатна:
Если вы используете AWS Route 53, он, к сожалению, не поддерживает DNSSEC. Это необходимый недостаток эластичных функций DNS, которые в первую очередь делают его великолепным: такие функции, как записи псевдонимов, балансировка нагрузки на уровне DNS, проверки работоспособности и маршрутизация на основе задержки. Поскольку Route 53 не может разумно подписывать эти записи каждый раз, когда они изменяются, DNSSEC невозможен. Однако, если вы используете собственные серверы имен или другого провайдера DNS, по-прежнему можно включить DNSSEC для доменов зарегистрированных с использованием Route 53, но не для доменов, использующих Route 53 в качестве службы DNS.