Defaults.Exposed

Defaults.ExposedПоправки › DNSSEC

Как да поправите DNSSEC

DNSSEC е цифров печат на адресната книга на домейна ви. Позволява на интернет да докаже, че отговорът на въпроса 'где живее този домейн?' наистина е дошъл от вас и не е бил манипулиран по пътя. Без него отговорът може да бъде фалшифициран — и посетителите ви тихо пратени другаде.

Заключение за вашия бизнес: Без DNSSEC, нападател, способен да отрови DNS отговор, може да насочи клиентите ви към перфектно копие на сайта ви, докато браузърът им все още показва реалното ви доменно наименование. Данни за влизане, номера на карти и лични данни биват събирани и разбирате само от жалбите за измама. Наполовина завършена DNSSEC настройка е дори по-лоша: може да направи сайта ви недостъпен за нарастващ дял посетители без грешка, която бихте забелязали.

Какво може да ви струва това

Защо има значение. DNS е адресната книга на интернет и по подразбиране отговорите му пътуват неподписани — всеки, способен да пъхне фалшив отговор, може да прати клиентите ви и имейла ви навсякъде, докато реалният ви домейн все още се показва в браузъра. DNSSEC слага неманипулируем печат на онези отговори, за да могат да бъдат верифицирани като наистина ваши. Поправката е безплатна при повечето доставчици; единствената реална цена е да я направите грешно, именно затова и двете половини са обяснени внимателно.

Как да го поправите, стъпка по стъпка

  1. Проверете поддръжката на регистратора и DNS хоста. Потвърдете, че и регистраторът, и DNS хостът поддържат DNSSEC преди да започнете.
  2. Активирайте подписването при DNS хоста. Включете DNSSEC; хостът подписва зоната ви и произвежда DS запис.
  3. Публикувайте DS записа при регистратора. Копирайте DS записа в настройките за DNSSEC на регистратора, за да завършите веригата на доверие.
  4. Изчакайте разпространение. Изчакайте 24-48 часа и не сменяйте DNS хостове по средата, иначе можете да счупите разрешаването.
  5. Верифицирайте, че е проработило. Проверете отново, за да потвърдите, че веригата на доверие се валидира end-to-end.

DNSSEC с прости думи

Всеки път, когато някой посещава уебсайта ви или ви изпраща имейл, компютърът му първо задава на интернет прост въпрос: „где всъщност живее този домейн?” Отговорът — наборът от адреси за сайта и пощенските ви сървъри — идва обратно от DNS, адресната книга на интернет.

Ето неудобната част: по подразбиране онези отговори пътуват неподписани. Нищо не е прикрепено за доказване, че отговорът е истински. Ако някой може да пъхне фалшив отговор в онзи разговор — а има добре известни, доказани начини да го направи — компютърът на посетителя ви ще го приеме с удоволствие. От онзи момент посетителят може да разговаря с сървъра на нападателя, докато браузърът им все още показва вашето доменно наименование в адресната лента.

DNSSEC е поправката. Той добавя неманипулируем цифров печат към DNS отговорите ви. Когато DNSSEC е включен, интернет може математически да верифицира, че даден отговор наистина е от вас и не е бил изменен по пътя. Фалшив отговор не минава проверката и се изхвърля. Разликата между адресна книга, в която всеки може да драска, и такава, в която всеки запис е подписан и засвидетелстван.

Тази страница покрива двете части, проверявани заедно от нашата система: дали печатът е публикуван (DS запис) и дали съответстващият ключ зад него действително съществува (DNSKEY запис). Скоро ще видите защо и двете имат значение — тъй като притежаването на едното без другото е собствен вид неволи.

Какво може да ви струва това

Това са реалистични, агрегатни модели — не конкретен назован бизнес.

Какво всъщност е

DNSSEC работи като верига на доверие и има две движещи части, трябващи да се съгласуват помежду си. Това е сърцевината защо проверката ни гледа две неща.

DNSKEY — вашият ключ. DNS доставчикът ви притежава криптографски ключ и го използва за подписване на DNS записите ви. Публичната половина на онзи ключ е публикувана като DNSKEY запис. Представете си го като печата, притежаван от вашата страна.

DS записът — отпечатъкът, ръчещ за ключа. Кратък отпечатък на онзи ключ, наречен DS (Delegation Signer) запис, е публикуван едно ниво нагоре — при регистъра на домейна ви, чрез регистратора. Именно това позволява на останалия интернет да се довери на ключа ви: всяко ниво ръчи за долното, чак до корена на интернет. DS е официалната регистрация на печата, за да го разпознаят всички останали.

За DNSSEC реално да ви защити, и двата трябва да са налице и да съвпадат:

Как изглежда „добро” в един ред: DS запис при регистратора, чийто отпечатък съответства на активен DNSKEY при DNS доставчика, двата потвърдени с бърза справка.

Как да го поправите (безплатно, ~10–30 минути)

Дайте тази секция на когото управлява домейна или уебсайта ви. Самата поправка е безплатна при повечето доставчици — единствената цена е да го правите внимателно, за да остават двете половини в синхрон. Таксуваме само ако по-късно искате да следим, че остава правилно активиран.

Златното правило: активирайте подписването първо (което създава DNSKEY), след това публикувайте DS записа при регистратора — никога обратно и никога едното без другото. Публикуването на DS преди ключът да съществува е именно онова, причиняващо прекъсвания.

Лесният маршрут (препоръчан — Cloudflare):

  1. В Cloudflare, уверете се, че Cloudflare действително управлява DNS-а ви (nameservers-ите сочат към Cloudflare).
  2. Отидете на DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare генерира и управлява ключовете вместо вас (автоматично създава страната с DNSKEY).
  3. Cloudflare показва детайлите на DS записа за публикуване при регистратора.
  4. Влезте в регистратора на домейна (напр. Blacknight, GoDaddy, Namecheap, OVH) и намерете раздела DNSSEC. Поставете стойностите на DS, дадени от Cloudflare.
  5. Изчакайте 24–48 часа за пълно разпространение. Сайтът и имейлът продължават да работят през цялото време.

Други DNS доставчици (AWS Route 53, уеб хостът ви и т.н.):

  1. В контролния панел на DNS доставчика, активирайте DNSSEC / „подпишете тази зона”. Това генерира ключовете за подписване и публикува DNSKEY записите.
  2. Копирайте DS записа, произведен от доставчика.
  3. Добавете онзи DS запис при регистратора под неговите настройки за DNSSEC.
  4. Потвърдете, че регистраторът го е приел и изчакайте разпространение.

Бележки за платформата:

Верифицирайте, че е проработило:

Чести грешки

Где стои в оценката

И двете проверки се броят към DNS Security оценката. Проверката за DS запис се третира като по-приоритетна от двете: липсващ DS е реална пропаст и се оценява като провал. Проверката за DNSKEY потвърждава, че останалата верига е непокътната — тя преминава само когато съответстващи DS и DNSKEY са налице, и маркира опасното „DS без ключ” счупено состояние като висока тежест. Чист „DNSSEC просто не е активиран все още” резултат е обичайната отправна точка за много бизнеси; преместването от там до пълна, съвпадаща двойка DS + DNSKEY е безплатно, добре разбрано надграждане, подобряващо DNS Security позицията и премахващо реален канал за имперсонация и прихващане.

Настройте го при вашия хост

Стъпка по стъпка за популярни доставчици:

ЧЗВ

Не съм технически — трябва ли лично аз да се занимавам с това?

Не. Трябва да разберете защо е важно (тази страница го покрива), но самата промяна е в настройките на DNS и регистратора на домейна ви, така че принадлежи на когото управлява домейна или уебсайта ви. Дайте им раздела 'Как да го поправите' — безплатно е и обикновено отнема под половин час. Таксуваме само ако по-късно искате да следим, че остава правилно включен.

Ако сайтът ми вече има катинар (HTTPS), не съм ли вече защитен?

Те защитават различни неща. Катинарът осигурява връзката, след като посетителят е достигнал правилния сървър. DNSSEC защитава стъпката преди това — осигурявайки, че на първо място достигат правилния сървър. Нападател, фалшифициращ DNS-а ви, може да прати посетителите към собствения му сървър, който може да има свой валиден катинар на подобен домейн или дори на копие от вашия. Нуждаете се и от двете; едното не замества другото.

Включването на DNSSEC може ли да счупи уебсайта или имейла ми?

Направено на едно място от доставчик, поддържащ го, не — съвременните доставчици управляват ключовете вместо вас и просто работи. Рискът идва от правенето му в две несвързани стъпки и завършване само на едната: публикуване на публичния 'печат' (DS запис) при регистратора, докато съответстващият ключ (DNSKEY) липсва или не съвпада. Онова счупено състояние е по-лошо от без DNSSEC и причинява периодични прекъсвания. Стъпките по-долу поддържат двете половини в синхрон, за да не се случи това.

Хостваме при Cloudflare / Google Workspace / Microsoft 365 — не покрива ли го?

Не автоматично, но го прави лесно. Важното е где се управлява DNS-ът ви. Ако Cloudflare управлява DNS-а ви, той е едно кликване за активиране плюс поставяне на един запис при регистратора. Microsoft 365 и Google Workspace обработват имейла, а не обикновено DNS зоната ви — DNSSEC се активира там, където действително живеят DNS записите на домейна ви (нерядко Cloudflare, регистраторът или хостът). Стъпките по-долу покриват обичайните случаи.

Какво точно са 'DS' и 'DNSKEY' — и защо тази страница споменава и двата?

Те са двете половини на една заключалка. DNSKEY е ключът, притежаван и използван от DNS доставчика ви за подписване на записите ви. DS е отпечатък на онзи ключ, публикуван едно ниво нагоре при регистратора, за да може останалият интернет да потвърди, че ключът наистина е ваш. И двата трябва да са налице и да съвпадат. Проверяваме и двата: липсващ DS означава, че DNSSEC не е включен; DS без съответстващ DNSKEY означава, че е включен, но счупен.

Кога ще проработи и как да потвърдя?

Осигурете 24–48 часа за пълното разпространение на промяната в интернет; съществуващият сайт и имейл продължават да работят през цялото време, ако е направено правилно. За потвърждение, IT специалистът ви може да изпълни 'dig DS yourdomain' и 'dig DNSKEY yourdomain' и да види върнати записи и за двете, или да използва безплатен онлайн инструмент за проверка на DNSSEC. Можем и да го следим непрекъснато, за да бъде всяко бъдещо счупване уловено деня, когато се случи, а не деня, когато клиент се оплаче.