Defaults.Exposed › الإصلاحات › DNSSEC

كيف تُصلح DNSSEC

DNSSEC ختم رقمي على دفتر عناوين نطاقك. يتيح للإنترنت إثبات أن الجواب عن سؤال 'أين يعيش هذا النطاق؟' أتى فعلاً منك ولم يُعبَث به في الطريق. بدونه، يمكن تزوير الجواب — ويُرسَل زوّارك بهدوء إلى مكان آخر.

الخلاصة لعملك: بدون DNSSEC، يستطيع مهاجم قادر على تسميم جواب DNS أن يوجّه عملاءك إلى نسخة مطابقة من موقعك بينما لا يزال متصفحهم يُظهِر اسم نطاقك الحقيقي. فتُحصَد عمليات تسجيل الدخول وأرقام البطاقات والبيانات الشخصية، ولا تعلم بالأمر إلا من عمليات ردّ المبالغ والشكاوى. وإعداد DNSSEC معطوب نصف-منجَز أسوأ: فقد يجعل موقعك غير قابل للوصول لشريحة متنامية من الزوّار دون أي خطأ تلاحظه أبداً.

ماذا قد يكلّفك هذا

• يُعاد توجيه الزوّار الذين يكتبون نطاقك الحقيقي بصمت إلى نسخة مشابهة تلتقط كلمة مرورهم وتفاصيل بطاقتهم — ولأن شريط العنوان يُظهِر نطاقك طوال الوقت، لا يشكّ أحد بشيء حتى تصل بلاغات الاحتيال.
• يُعاد توجيه بريدك بهدوء: يزوّر مهاجم الجواب الخاص بخوادم بريدك، فيقرأ الرسائل أو يعترضها، ويعيد تعيين كلمات المرور على حسابات ترسل إليك رمزاً بالبريد — كل ذلك دون لمس صندوق وارد بريدك.
• إعداد DNSSEC نصف-مُعَدّ (الختم العام موجود لكن المفتاح المطابق مفقود) يجعل موقعك وبريدك يفشلان عشوائياً لعملاء على مزوّدي خدمة إنترنت كبار وشبكات شركات — بلاغات 'موقعك معطّل لديّ' متقطّعة لا تستطيع إعادة إنتاجها.
• يُجري فريق الأمن لدى عميل محتمل فحصاً قبل التعاقد، فلا يجد DNSSEC، فيخفض تقييمك كضعيف في الأساسيات — مُعرّضاً صفقة للخطر بسبب إعداد مجاني.
• يتوقّع المشترون في القطاع العام والأعمال بين الشركات الأكبر بشكل متزايد DNSSEC كحدّ أساسي (إنه مُسمّى في لوائح مثل NIS2)؛ وغيابه يُقصِيك بهدوء من المناقصات قبل أن تبدأ محادثة أصلاً.

لماذا يهمّ. DNS هو دفتر عناوين الإنترنت، وافتراضياً تسافر إجاباته غير موقَّعة — فأي شخص يستطيع دسّ ردّ مزوّر يمكنه إرسال عملائك وبريدك إلى أي مكان يشاء، ونطاقك الحقيقي لا يزال يظهر في المتصفح. وDNSSEC يضع ختماً مانعاً للعبث على تلك الإجابات بحيث يمكن التحقق من أنها صادرة منك فعلاً. الإصلاح مجاني لدى معظم المزوّدين؛ والتكلفة الحقيقية الوحيدة هي القيام به خطأً، ولهذا نسير عبر النصفين بعناية.

DNSSEC، بكلمات بسيطة

في كل مرة يزور فيها أحدهم موقعك أو يرسل إليك بريداً، يسأل جهازه أولاً الإنترنت سؤالاً بسيطاً: “أين يعيش هذا النطاق فعلاً؟” والجواب — مجموعة العناوين لموقعك وخوادم بريدك — يعود من DNS، دفتر عناوين الإنترنت.

إليك الجزء غير المريح: افتراضياً، تسافر تلك الإجابات غير موقَّعة. لا شيء مرفق يثبت أن الجواب حقيقي. فإذا استطاع أحدهم دسّ ردّ مزوّر في تلك المحادثة — وهناك طرق معروفة ومثبتة لفعل ذلك بالضبط — فسيقبله جهاز زائرك بكل سرور. ومن تلك اللحظة، قد يتحدّث الزائر إلى خادم مهاجم بينما لا يزال متصفحه يُظهِر اسم نطاقك أنت في شريط العنوان.

DNSSEC هو الحلّ. إنه يضيف ختماً رقمياً مانعاً للعبث إلى إجابات DNS لديك. وحين يكون DNSSEC مفعّلاً، يستطيع الإنترنت التحقق رياضياً من أن جواباً أتى فعلاً منك ولم يُغيَّر في الطريق. والردّ المزوّر يفشل في الفحص ويُرمى. إنه الفرق بين دفتر عناوين يستطيع أي أحد الخربشة فيه وآخر يكون فيه كل مدخل موقَّعاً ومشهوداً عليه.

تغطّي هذه الصفحة الجزأين اللذين يفحصهما فحصنا معاً: هل الختم منشور (سجل DS) وهل المفتاح المطابق خلفه موجود فعلاً (سجل DNSKEY). وسترى لماذا يهمّ كلاهما قريباً — لأن امتلاك أحدهما دون الآخر نوع من المتاعب بحدّ ذاته.

ما قد يكلّفك هذا

هذه أنماط واقعية تجميعية — لا أي نشاط تجاري بعينه.

• إعادة التوجيه غير المرئية. يسمّم مهاجم جواب DNS لنطاقك. يكتب العملاء عنوان موقعك الحقيقي، ويرون نطاقك الحقيقي في الشريط، ويصلون إلى نسخة بلا عيب من صفحة تسجيل الدخول أو الدفع لديك يستضيفها المهاجم. وكل كلمة مرور ورقم بطاقة يُدخِلونه يذهب مباشرة إلى المجرم. ولا تسمع بالأمر إلا حين تبدأ عمليات ردّ المبالغ ومكالمات “تعرّضت للاختراق عبر موقعك” — ويقود الأثر إلى علامتك، لا إلى المهاجم.
• اعتراض البريد الهادئ. لا يشير DNS إلى موقعك فقط؛ بل يشير إلى خوادم بريدك. زوّر ذلك الجواب فيمكن إعادة توجيه البريد الوارد عبر مهاجم أولاً. فيقرأ الرسائل الحسّاسة، ويحصد الرموز لمرة واحدة التي ترسلها الخدمات بالبريد لـ “التحقق من أنه أنت”، ويعيد تعيين كلمات المرور على حسابات مرتبطة بنطاقك — كل ذلك دون تسجيل الدخول إلى صندوق بريدك أبداً.
• الانقطاع الذي لا تستطيع إعادة إنتاجه. هذا يأتي من إعداد DNSSEC نصف-منجَز. فالختم العام (DS) جالس لدى مُسجِّلك، لكن المفتاح المطابق (DNSKEY) مفقود أو خاطئ. والزوّار على مزوّدي خدمة إنترنت وشبكات شركات تفحص DNSSEC — وهم يزدادون كل عام — ببساطة لا يستطيعون حلّ نطاقك إطلاقاً. ويعمل موقعك وبريدك جيداً لك وللشخص التقني لديك، لكن شريحة من العملاء الحقيقيين يحصلون على “تعذّر الوصول إلى هذا الموقع” دون أي خطأ تراه. وهي من أصعب المشكلات تشخيصاً تحديداً لأنها غير مرئية من الداخل.
• الصفقة المفقودة. يُجري فريق الأمن أو المشتريات لدى عميل محتمل مسحاً روتينياً لنطاقك قبل التعاقد. فيظهر غياب DNSSEC كعلامة حمراء على “أساسيات أمن DNS”. ولضابط مجاني مفهوم جيداً، يُقرأ غيابه كإهمال — وقد يكلّفك بهدوء عقداً لم تعرف أبداً أنه كان في خطر.
• المناقصة التي لا تتأهّل لها أصلاً. تُسمّي اللوائح وقوائم تحقق المشترين DNSSEC بشكل متزايد كنظافة أساسية متوقّعة (إنه مُشار إليه ضمن أحكام أمن DNS في NIS2). وقد يُصفّيك المشترون الأكبر في الأعمال بين الشركات والقطاع العام قبل أن تبدأ محادثة مبيعات، لمجرد أن الخانة غير مؤشَّرة.

ما هو فعلاً

يعمل DNSSEC كسلسلة ثقة، وله جزآن متحرّكان يجب أن يتفقا أحدهما مع الآخر. وهذا جوهر سبب نظر فحصنا في أمرين.

DNSKEY — مفتاحك. يحتفظ مزوّد DNS الخاص بك بمفتاح تشفيري ويستخدمه لـ توقيع سجلات DNS لديك. ويُنشَر النصف العام من ذلك المفتاح كسجل DNSKEY. فكّر فيه كختم-الطابع المحفوظ في طرفك.

سجل DS — البصمة التي تضمن المفتاح. تُنشَر بصمة قصيرة لذلك المفتاح، تُسمّى سجل DS (موقّع التفويض)، مستوى واحداً أعلى — لدى سجلّ نطاقك، عبر مُسجِّلك. وهذا ما يتيح لبقية الإنترنت الوثوق بمفتاحك: فيضمن كل مستوى المستوى الذي تحته، صعوداً حتى جذر الإنترنت. وDS هو الختم وهو يُسجَّل رسمياً حتى يتمكن الجميع من التعرّف عليه.

ولكي يحميك DNSSEC فعلاً، يجب أن يكون كلاهما موجوداً وأن يتطابقا:

• DS موجود + DNSKEY موجود ومتطابق ← جيد. سلسلة الثقة مكتملة. تُرفَض الإجابات المزوّرة؛ وتُتحقَّق المشروعة. هذه حالة “الاجتياز”.
• لا DS (ولا DNSKEY) ← DNSSEC ببساطة غير مفعّل. ليس لديك حماية، لكن لا شيء معطوب. هذه أكثر حالات “لم يُنجَز بعد” شيوعاً. (في تقييمنا هنا يُحتسَب فحص DS ضدّك؛ ويعامل فحص المفتاح المدموج حالة “مُطفأ” بالكامل نظيفة كمعلومة لا كفشل صريح، لأن لا شيء يتعطّل فعلاً.)
• DS موجود، لكن DNSKEY مفقود أو غير متطابق ← معطوب، وأسوأ من مُطفأ. يرى الإنترنت ختماً منشوراً يشير إلى مفتاح غير موجود. وتستنتج المُحلِّلات المُتحقِّقة أن نطاقك عُبث به وترفض حلّه — مسبّبةً الانقطاعات المتقطّعة الموصوفة أعلاه. هذه أكثر حالة استعجالاً للإصلاح، ويُعلِّمها فحصنا كخطورة عالية.
• DNSKEY موجود، لكن لا DS لدى المُسجِّل ← مفعّل لكن غير مُنشَّط. سجلاتك موقَّعة، لكن لأن البصمة لم تُسجَّل مستوى واحداً أعلى، لا تملك بقية الإنترنت وسيلة للوثوق بها. تحصل على العمل دون الحماية. والإصلاح إضافة سجل DS لدى مُسجِّلك.

كيف يبدو “الجيد”، في سطر واحد: سجل DS لدى مُسجِّلك تتطابق بصمته مع DNSKEY حيّ لدى مزوّد DNS الخاص بك، مؤكَّدان كلاهما ببحث سريع.

كيفية الإصلاح (مجاناً، ~10–30 دقيقة)

سلّم هذا القسم لمن يدير نطاقك أو موقعك. الإصلاح نفسه مجاني لدى معظم المزوّدين — والتكلفة الوحيدة هي القيام به بعناية فيبقى النصفان متزامنين. نحن نتقاضى رسوماً فقط إن أردت لاحقاً أن نراقب بقاءه مفعّلاً بشكل صحيح.

القاعدة الذهبية: فعّل التوقيع أولاً (الذي يُنشئ DNSKEY)، ثم انشر سجل DS لدى المُسجِّل — أبداً بالعكس، وأبداً أحدهما دون الآخر. فنشر DS قبل وجود المفتاح هو بالضبط ما يسبّب الانقطاعات.

المسار البسيط (موصى به — Cloudflare):

1. في Cloudflare، تأكد من أن Cloudflare تدير فعلاً DNS الخاص بك (خوادم أسمائك تشير إلى Cloudflare).
2. اذهب إلى DNS ← Settings ← DNSSEC ← Enable DNSSEC. تولّد Cloudflare المفاتيح وتديرها لك (هذا يُنشئ جانب DNSKEY تلقائياً).
3. تعرض لك Cloudflare تفاصيل سجل DS لنشره لدى مُسجِّلك.
4. سجّل الدخول إلى مُسجِّل نطاقك (مثل Blacknight، GoDaddy، Namecheap، OVH) واعثر على قسم DNSSEC. الصق قيم DS التي منحتك إياها Cloudflare.
5. انتظر 24–48 ساعة للانتشار الكامل. ويظلّ موقعك وبريدك يعملان طوال ذلك.

مزوّدو DNS آخرون (AWS Route 53، مضيف الويب الخاص بك، إلخ):

1. في لوحة تحكم مزوّد DNS الخاص بك، فعّل DNSSEC / “وقّع هذه المنطقة.” هذا يولّد مفاتيح التوقيع وينشر سجلات DNSKEY.
2. انسخ سجل DS الذي ينتجه المزوّد.
3. أضِف ذلك السجل DS لدى مُسجِّلك تحت إعدادات DNSSEC الخاصة به.
4. تأكد من قبول المُسجِّل له وانتظر الانتشار.

ملاحظات المنصة:

• Cloudflare — تفعيل بنقرة واحدة، ثم لصق DS واحد لدى المُسجِّل. أسهل طريق بفارق كبير.
• AWS Route 53 — فعّل توقيع DNSSEC على المنطقة المُستضافة، ثم أضِف سجل DS لدى مُسجِّل نطاقك (إن كان النطاق مسجَّلاً لدى Route 53، يستطيع AWS ربطه لك).
• Microsoft 365 / Google Workspace — هذان يشغّلان بريدك، لا منطقة DNS الخاصة بك عادة. ويُفعَّل DNSSEC حيثما تعيش سجلات DNS لديك فعلاً (غالباً مُسجِّلك، أو مضيفك، أو Cloudflare)، لا في مركز إدارة 365/Workspace.
• مزوّد DNS الخاص بك لا يدعم DNSSEC إطلاقاً؟ هذا شائع مع المضيفين الأقدم أو الاقتصاديين. والإصلاح النظيف هو نقل إدارة DNS إلى مزوّد يدعمه (Cloudflare مجاني)، ثم اتّباع المسار البسيط أعلاه. ونقل DNS لا يتطلب نقل موقعك أو بريدك.

تحقّق من نجاحه:

• شغّل dig DS yourdomain.com وdig DNSKEY yourdomain.com — ينبغي أن يُعيد كلاهما سجلات.
• أو استخدم أي مدقّق DNSSEC مجاني عبر الإنترنت وتأكد من سلسلة ثقة خضراء/صالحة.
• لا تعتبره منتهياً حتى يُعيد كلاهما سجلات متطابقة. وDS دون DNSKEY هو الحالة المعطوبة — أصلِحها أو أزِلها فوراً.

الأخطاء الشائعة

• نشر DS قبل وجود المفتاح. الخطأ الأكثر ضرراً منفرداً: إضافة سجل DS لدى المُسجِّل قبل أن يكون التوقيع فعّالاً فعلاً لدى مزوّد DNS. هذا يُنشئ حالة “ختم منشور، مفتاح مفقود” التي تجعل نطاقك غير قابل للحلّ للزوّار الذين يفحصون DNSSEC. فعّل التوقيع أولاً دائماً، ثم انشر DS.
• ترك DS قديم خلفك بعد تبديل المزوّدين. إذا رحّلت مزوّدي DNS (أو عطّلت التوقيع) لكنك نسيت إزالة أو تحديث سجل DS القديم لدى المُسجِّل، فتبقى مشيراً إلى مفتاح لم يعد موجوداً — النتيجة المعطوبة نفسها. وحين تُطفئ DNSSEC أو تنقله، حدّث DS لدى المُسجِّل في التغيير نفسه.
• التوقف بعد الخطوة الأولى. تفعيل التوقيع لدى مزوّد DNS (إنشاء DNSKEY) لكن عدم إضافة DS لدى المُسجِّل أبداً. كل شيء يبدو “مفعّلاً” في لوحة DNS، لكن دون DS لا تُنشَّط الحماية أبداً. أديت العمل ولم تحصل على شيء من فائدته.
• افتراض أن HTTPS أو مصادقة البريد تغطّيه أصلاً. القفل ومصادقة البريد (SPF / DKIM / DMARC) قيّمان لكنهما يحلّان مشكلات مختلفة. ولا واحد منها يمنع جواب DNS مزوّراً من إرسال الزوّار إلى المكان الخطأ ابتداءً.
• عدم المراقبة بعد التفعيل. تُدوَّر المفاتيح، ويتغيّر المزوّدون، وتُحرَّر السجلات. والإعداد المثالي اليوم قد يتعطّل بصمت بعد أشهر. وإن كان DNSSEC مهمّاً بما يكفي لتفعيله، فيستحق فحصاً دورياً للتأكد من بقائه صالحاً.

أين يندرج هذا في درجتك

كلا هذين الفحصين يُحتسَب في درجة أمن DNS لديك. ويُعامَل فحص سجل DS كالأعلى أولوية من الاثنين: فـ DS مفقود ثغرة حقيقية ويُقيَّم كفشل. ويؤكّد فحص DNSKEY أن بقية السلسلة سليمة — فهو يجتاز فقط حين يكون كلٌّ من DS وDNSKEY مطابق موجوداً، ويُعلِّم حالة “DS-دون-مفتاح” المعطوبة الخطيرة كخطورة عالية. ونتيجة “DNSSEC ببساطة غير مفعّل بعد” النظيفة هي نقطة البداية الشائعة لكثير من الأنشطة التجارية؛ والانتقال من هناك إلى زوج DS + DNSKEY مكتمل ومتطابق ترقية مجانية مفهومة جيداً تُحسِّن مكانة أمن DNS لديك وتزيل سبيلاً حقيقياً للانتحال والاعتراض.

أعدّه على مُضيفك

خطوة بخطوة لدى المزوّدين الشائعين:

• إعداد DNSSEC على GoDaddy
• إعداد DNSSEC على Namecheap
• إعداد DNSSEC على Cloudflare
• إعداد DNSSEC على AWS Route 53

الأسئلة الشائعة