Defaults.Exposed › Поправки › DNSSEC
Как да поправите DNSSEC
DNSSEC е цифров печат на адресната книга на домейна ви. Позволява на интернет да докаже, че отговорът на въпроса 'где живее този домейн?' наистина е дошъл от вас и не е бил манипулиран по пътя. Без него отговорът може да бъде фалшифициран — и посетителите ви тихо пратени другаде.
Заключение за вашия бизнес: Без DNSSEC, нападател, способен да отрови DNS отговор, може да насочи клиентите ви към перфектно копие на сайта ви, докато браузърът им все още показва реалното ви доменно наименование. Данни за влизане, номера на карти и лични данни биват събирани и разбирате само от жалбите за измама. Наполовина завършена DNSSEC настройка е дори по-лоша: може да направи сайта ви недостъпен за нарастващ дял посетители без грешка, която бихте забелязали.
Какво може да ви струва това
- Посетители, въвеждащи реалния ви домейн, биват тихо пренасочени към подобен сайт, уловил паролата и данните за картата им — и тъй като адресната лента показва домейна ви през цялото време, никой не подозира нищо до пристигането на докладите за измама.
- Имейлът ви тихо се пренасочва: нападателят фалшифицира отговора за пощенските ви сървъри, чете или прихваща съобщения и нулира пароли на акаунти, изпращащи ви код — всичко без докосване на пощенската кутия.
- Наполовина конфигурирана DNSSEC настройка (публичният печат съществува, но съответстващият ключ липсва) кара уебсайта и имейла ви произволно да се провалят за клиенти при голями интернет доставчици и корпоративни мрежи — периодични доклади 'сайтът ви е надолу при мен', които не можете да възпроизведете.
- Екипът по сигурност на потенциален клиент прави предварителна проверка, вижда отсъствие на DNSSEC и ви отбелязва надолу като слаби в основите — излагайки на риск сделка заради безплатна настройка.
- Обществените и по-големи B2B купувачи все по-силно очакват DNSSEC като базова хигиена (посочен е в наредби като NIS2); отсъствието му ви дисквалифицира тихо от поръчки преди дори разговор да започне.
Защо има значение. DNS е адресната книга на интернет и по подразбиране отговорите му пътуват неподписани — всеки, способен да пъхне фалшив отговор, може да прати клиентите ви и имейла ви навсякъде, докато реалният ви домейн все още се показва в браузъра. DNSSEC слага неманипулируем печат на онези отговори, за да могат да бъдат верифицирани като наистина ваши. Поправката е безплатна при повечето доставчици; единствената реална цена е да я направите грешно, именно затова и двете половини са обяснени внимателно.
Как да го поправите, стъпка по стъпка
- Проверете поддръжката на регистратора и DNS хоста. Потвърдете, че и регистраторът, и DNS хостът поддържат DNSSEC преди да започнете.
- Активирайте подписването при DNS хоста. Включете DNSSEC; хостът подписва зоната ви и произвежда DS запис.
- Публикувайте DS записа при регистратора. Копирайте DS записа в настройките за DNSSEC на регистратора, за да завършите веригата на доверие.
- Изчакайте разпространение. Изчакайте 24-48 часа и не сменяйте DNS хостове по средата, иначе можете да счупите разрешаването.
- Верифицирайте, че е проработило. Проверете отново, за да потвърдите, че веригата на доверие се валидира end-to-end.
DNSSEC с прости думи
Всеки път, когато някой посещава уебсайта ви или ви изпраща имейл, компютърът му първо задава на интернет прост въпрос: „где всъщност живее този домейн?” Отговорът — наборът от адреси за сайта и пощенските ви сървъри — идва обратно от DNS, адресната книга на интернет.
Ето неудобната част: по подразбиране онези отговори пътуват неподписани. Нищо не е прикрепено за доказване, че отговорът е истински. Ако някой може да пъхне фалшив отговор в онзи разговор — а има добре известни, доказани начини да го направи — компютърът на посетителя ви ще го приеме с удоволствие. От онзи момент посетителят може да разговаря с сървъра на нападателя, докато браузърът им все още показва вашето доменно наименование в адресната лента.
DNSSEC е поправката. Той добавя неманипулируем цифров печат към DNS отговорите ви. Когато DNSSEC е включен, интернет може математически да верифицира, че даден отговор наистина е от вас и не е бил изменен по пътя. Фалшив отговор не минава проверката и се изхвърля. Разликата между адресна книга, в която всеки може да драска, и такава, в която всеки запис е подписан и засвидетелстван.
Тази страница покрива двете части, проверявани заедно от нашата система: дали печатът е публикуван (DS запис) и дали съответстващият ключ зад него действително съществува (DNSKEY запис). Скоро ще видите защо и двете имат значение — тъй като притежаването на едното без другото е собствен вид неволи.
Какво може да ви струва това
Това са реалистични, агрегатни модели — не конкретен назован бизнес.
- Невидимото пренасочване. Нападателят отравя DNS отговора за домейна ви. Клиентите въвеждат реалния ви уеб адрес, виждат реалния ви домейн в лентата и попадат на безупречно копие на страницата ви за влизане или плащане, хоствано от нападателя. Всяка парола и номер на карта, въведени от тях, отиват директно при престъпника. Разбирате за това само когато започнат да пристигат жалбите за измама и „хакнаха ме чрез сайта ви” — и следата води до марката ви, а не до нападателя.
- Тихото прихващане на имейл. DNS не сочи само към уебсайта ви; той сочи и към пощенските ви сървъри. Фалшифицирайте онзи отговор и входящият имейл може да бъде пренасочен първо чрез нападател. Те четат чувствителни съобщения, събират еднократните кодове, изпращани от услуги по имейл за „потвърждаване, че сте вие”, и нулират пароли на акаунти, свързани с домейна ви — всичко без никога да влизат в пощенската ви кутия.
- Аварията, която не можете да възпроизведете. Тази идва от наполовина завършена DNSSEC настройка. Публичният печат (DS) стои при регистратора, но съответстващият ключ (DNSKEY) липсва или е грешен. Посетителите при интернет доставчици и корпоративни мрежи, проверяващи DNSSEC — и ги има все повече всяка година — просто не могат да разрешат домейна ви изобщо. Сайтът и имейлът ви работят нормално за вас и вашите технически хора, но дял от реални клиенти получават „сайтът не може да бъде достигнат” без грешка, видима от вашата страна. Едно от най-трудните за диагностициране проблеми именно защото е невидим отвътре.
- Изгубената сделка. Екипът по сигурност или обществени поръчки на потенциален клиент прави рутинно предварително сканиране на домейна ви. Липсата на DNSSEC се появява като червена отметка при „основи на DNS сигурността.” За безплатен, добре разбран контрол, неговото отсъствие звучи като небрежност — и може тихо да ви костна договор, за чийто риск никога не сте знаели.
- Поръчката, за която дори не се класирате. Наредби и контролни списъци на купувачи все по-силно назовават DNSSEC като очаквана базова хигиена (посочен е под разпоредбите за DNS сигурност на NIS2). По-големи B2B и обществени купувачи могат да ви филтрират, преди дори да е започнал разговор за продажба, просто защото кутията не е отметната.
Какво всъщност е
DNSSEC работи като верига на доверие и има две движещи части, трябващи да се съгласуват помежду си. Това е сърцевината защо проверката ни гледа две неща.
DNSKEY — вашият ключ. DNS доставчикът ви притежава криптографски ключ и го използва за подписване на DNS записите ви. Публичната половина на онзи ключ е публикувана като DNSKEY запис. Представете си го като печата, притежаван от вашата страна.
DS записът — отпечатъкът, ръчещ за ключа. Кратък отпечатък на онзи ключ, наречен DS (Delegation Signer) запис, е публикуван едно ниво нагоре — при регистъра на домейна ви, чрез регистратора. Именно това позволява на останалия интернет да се довери на ключа ви: всяко ниво ръчи за долното, чак до корена на интернет. DS е официалната регистрация на печата, за да го разпознаят всички останали.
За DNSSEC реално да ви защити, и двата трябва да са налице и да съвпадат:
- DS налице + DNSKEY налице и съвпадащ → добре. Веригата на доверие е пълна. Фалшивите отговори се отхвърлят; легитимните се верифицират. Това е „преминаващото” състояние.
- Без DS (и без DNSKEY) → DNSSEC просто не е включен. Нямате защита, но нищо не е счупено. Това е най-честото „все още не е направено” състояние. (По нашата методология тук проверката за DS се брои срещу вас; комбинираната ключова проверка третира чисто, напълно „изключено” състояние като информационно, а не твърд провал, тъй като нищо активно не се чупи.)
- DS налице, но DNSKEY липсва или не съвпада → счупено и по-лошо от изключен. Интернет вижда публикуван печат, сочещ към ключ, който не е там. Валидиращите разрешители заключават, че домейнът ви е бил манипулиран и отказват да го разрешат — причинявайки периодичните прекъсвания, описани по-горе. Това е най-спешното състояние за поправяне и проверката ни го маркира като висока тежест.
- DNSKEY налице, но без DS при регистратора → включен, но не активиран. Записите ви са подписани, но тъй като отпечатъкът никога не е бил регистриран едно ниво нагоре, останалият интернет няма начин да им се довери. Вършите работата без защитата. Поправката е добавяне на DS записа при регистратора.
Как изглежда „добро” в един ред: DS запис при регистратора, чийто отпечатък съответства на активен DNSKEY при DNS доставчика, двата потвърдени с бърза справка.
Как да го поправите (безплатно, ~10–30 минути)
Дайте тази секция на когото управлява домейна или уебсайта ви. Самата поправка е безплатна при повечето доставчици — единствената цена е да го правите внимателно, за да остават двете половини в синхрон. Таксуваме само ако по-късно искате да следим, че остава правилно активиран.
Златното правило: активирайте подписването първо (което създава DNSKEY), след това публикувайте DS записа при регистратора — никога обратно и никога едното без другото. Публикуването на DS преди ключът да съществува е именно онова, причиняващо прекъсвания.
Лесният маршрут (препоръчан — Cloudflare):
- В Cloudflare, уверете се, че Cloudflare действително управлява DNS-а ви (nameservers-ите сочат към Cloudflare).
- Отидете на DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare генерира и управлява ключовете вместо вас (автоматично създава страната с DNSKEY).
- Cloudflare показва детайлите на DS записа за публикуване при регистратора.
- Влезте в регистратора на домейна (напр. Blacknight, GoDaddy, Namecheap, OVH) и намерете раздела DNSSEC. Поставете стойностите на DS, дадени от Cloudflare.
- Изчакайте 24–48 часа за пълно разпространение. Сайтът и имейлът продължават да работят през цялото време.
Други DNS доставчици (AWS Route 53, уеб хостът ви и т.н.):
- В контролния панел на DNS доставчика, активирайте DNSSEC / „подпишете тази зона”. Това генерира ключовете за подписване и публикува DNSKEY записите.
- Копирайте DS записа, произведен от доставчика.
- Добавете онзи DS запис при регистратора под неговите настройки за DNSSEC.
- Потвърдете, че регистраторът го е приел и изчакайте разпространение.
Бележки за платформата:
- Cloudflare — едно кликване за активиране, след това едно поставяне на DS при регистратора. Най-лесният маршрут до голяма степен.
- AWS Route 53 — активирайте DNSSEC подписването на хостваната зона, след това добавете DS записа при регистратора на домейна ви (ако домейнът е регистриран при Route 53, AWS може да го свърже вместо вас).
- Microsoft 365 / Google Workspace — те управляват имейла ви, а не обикновено DNS зоната ви. DNSSEC се активира там, където действително живеят DNS записите ви (нерядко регистраторът, хостът или Cloudflare), а не в административния център на 365/Workspace.
- DNS доставчикът ви изобщо не поддържа DNSSEC? Обичайно е при по-стари или бюджетни хостове. Чистата поправка е преместване на DNS управлението към доставчик, правещ го (Cloudflare е безплатен), след това следване на лесния маршрут по-горе. Преместването на DNS не изисква преместване на уебсайта или имейла.
Верифицирайте, че е проработило:
- Изпълнете
dig DS yourdomain.comиdig DNSKEY yourdomain.com— и двете трябва да върнат записи. - Или използвайте безплатен онлайн инструмент за проверка на DNSSEC и потвърдете зелена/валидна верига на доверие.
- Не го смятайте за готово докато и двата не върнат съвпадащи записи. DS без DNSKEY е счупеното състояние — поправете или го премахнете незабавно.
Чести грешки
- Публикуване на DS преди ключът да съществува. Единствената най-увреждаща грешка: добавяне на DS записа при регистратора преди подписването реално да е активно при DNS доставчика. Това създава „публикуван печат, липсващ ключ” состояние, правещо домейна ви неразрешим за DNSSEC проверяващи посетители. Винаги активирайте подписването първо, след това публикувайте DS.
- Оставяне на остарял DS след смяна на доставчик. Ако мигрирате DNS доставчици (или деактивирате подписването), но забравите да премахнете или обновите стария DS запис при регистратора, оставате сочещи към ключ, вече несъществуващ — същият счупен резултат. Когато изключвате DNSSEC или го премествате, обновявайте DS при регистратора в същата промяна.
- Спиране след стъпка едно. Активиране на подписването при DNS доставчика (създаване на DNSKEY), но никога добавяне на DS при регистратора. Всичко изглежда „включено” в DNS таблото, но без DS защитата никога не се активира. Свършихте работата и не получихте нито едно от ползите.
- Приемане, че HTTPS или имейл автентикацията вече го покриват. Катинарът и имейл автентикацията (SPF / DKIM / DMARC) са ценни, но решават различни проблеми. Нито един от тях не спира фалшифициран DNS отговор да прати посетителите на грешното място от самото начало.
- Неследване след активиране. Ключовете се ротират, доставчиците се сменят, записи се редактират. Настройка, перфектна днес, може тихо да се счупи месеци по-късно. Ако DNSSEC е достатъчно важен за активиране, заслужава периодична проверка, че е все още валиден.
Где стои в оценката
И двете проверки се броят към DNS Security оценката. Проверката за DS запис се третира като по-приоритетна от двете: липсващ DS е реална пропаст и се оценява като провал. Проверката за DNSKEY потвърждава, че останалата верига е непокътната — тя преминава само когато съответстващи DS и DNSKEY са налице, и маркира опасното „DS без ключ” счупено состояние като висока тежест. Чист „DNSSEC просто не е активиран все още” резултат е обичайната отправна точка за много бизнеси; преместването от там до пълна, съвпадаща двойка DS + DNSKEY е безплатно, добре разбрано надграждане, подобряващо DNS Security позицията и премахващо реален канал за имперсонация и прихващане.
Настройте го при вашия хост
Стъпка по стъпка за популярни доставчици:
- Настройте DNSSEC при GoDaddy
- Настройте DNSSEC при Namecheap
- Настройте DNSSEC при Cloudflare
- Настройте DNSSEC при AWS Route 53
ЧЗВ
Не съм технически — трябва ли лично аз да се занимавам с това?
Не. Трябва да разберете защо е важно (тази страница го покрива), но самата промяна е в настройките на DNS и регистратора на домейна ви, така че принадлежи на когото управлява домейна или уебсайта ви. Дайте им раздела 'Как да го поправите' — безплатно е и обикновено отнема под половин час. Таксуваме само ако по-късно искате да следим, че остава правилно включен.
Ако сайтът ми вече има катинар (HTTPS), не съм ли вече защитен?
Те защитават различни неща. Катинарът осигурява връзката, след като посетителят е достигнал правилния сървър. DNSSEC защитава стъпката преди това — осигурявайки, че на първо място достигат правилния сървър. Нападател, фалшифициращ DNS-а ви, може да прати посетителите към собствения му сървър, който може да има свой валиден катинар на подобен домейн или дори на копие от вашия. Нуждаете се и от двете; едното не замества другото.
Включването на DNSSEC може ли да счупи уебсайта или имейла ми?
Направено на едно място от доставчик, поддържащ го, не — съвременните доставчици управляват ключовете вместо вас и просто работи. Рискът идва от правенето му в две несвързани стъпки и завършване само на едната: публикуване на публичния 'печат' (DS запис) при регистратора, докато съответстващият ключ (DNSKEY) липсва или не съвпада. Онова счупено състояние е по-лошо от без DNSSEC и причинява периодични прекъсвания. Стъпките по-долу поддържат двете половини в синхрон, за да не се случи това.
Хостваме при Cloudflare / Google Workspace / Microsoft 365 — не покрива ли го?
Не автоматично, но го прави лесно. Важното е где се управлява DNS-ът ви. Ако Cloudflare управлява DNS-а ви, той е едно кликване за активиране плюс поставяне на един запис при регистратора. Microsoft 365 и Google Workspace обработват имейла, а не обикновено DNS зоната ви — DNSSEC се активира там, където действително живеят DNS записите на домейна ви (нерядко Cloudflare, регистраторът или хостът). Стъпките по-долу покриват обичайните случаи.
Какво точно са 'DS' и 'DNSKEY' — и защо тази страница споменава и двата?
Те са двете половини на една заключалка. DNSKEY е ключът, притежаван и използван от DNS доставчика ви за подписване на записите ви. DS е отпечатък на онзи ключ, публикуван едно ниво нагоре при регистратора, за да може останалият интернет да потвърди, че ключът наистина е ваш. И двата трябва да са налице и да съвпадат. Проверяваме и двата: липсващ DS означава, че DNSSEC не е включен; DS без съответстващ DNSKEY означава, че е включен, но счупен.
Кога ще проработи и как да потвърдя?
Осигурете 24–48 часа за пълното разпространение на промяната в интернет; съществуващият сайт и имейл продължават да работят през цялото време, ако е направено правилно. За потвърждение, IT специалистът ви може да изпълни 'dig DS yourdomain' и 'dig DNSKEY yourdomain' и да види върнати записи и за двете, или да използва безплатен онлайн инструмент за проверка на DNSSEC. Можем и да го следим непрекъснато, за да бъде всяко бъдещо счупване уловено деня, когато се случи, а не деня, когато клиент се оплаче.