Defaults.Exposed › Διορθώσεις › DNSSEC

Πώς να διορθώσετε DNSSEC

Το DNSSEC είναι μια ψηφιακή σφραγίδα στο βιβλίο διευθύνσεων του domain σας. Επιτρέπει στο internet να αποδείξει ότι η απάντηση στο «πού βρίσκεται αυτό το domain;» πραγματικά ήρθε από εσάς και δεν παραποιήθηκε στη διαδρομή. Χωρίς αυτό, η απάντηση μπορεί να πλαστογραφηθεί — και οι επισκέπτες σας να σταλούν αθόρυβα κάπου αλλού.

Ουσία για την επιχείρησή σας: Χωρίς DNSSEC, ένας εισβολέας που μπορεί να δηλητηριάσει μια DNS απάντηση μπορεί να στείλει τους πελάτες σας σε τέλειο αντίγραφο του ιστότοπού σας ενώ το πρόγραμμα περιήγησής τους εξακολουθεί να εμφανίζει το πραγματικό σας domain. Συνδέσεις, αριθμοί κάρτας και προσωπικά δεδομένα συλλέγονται, και μαθαίνετε γι' αυτό μόνο από chargebacks και παράπονα. Μια ημιτελής ρύθμιση DNSSEC είναι ακόμα χειρότερη: μπορεί να κάνει τον ιστότοπό σας μη προσβάσιμο για μεγαλύτερο τμήμα επισκεπτών χωρίς κανένα σφάλμα που να βλέπετε.

Τι μπορεί να σας κοστίσει αυτό

Επισκέπτες που πληκτρολογούν το πραγματικό σας domain ανακατευθύνονται αθόρυβα σε look-alike που καταγράφει κωδικό και στοιχεία κάρτας — και επειδή η γραμμή διευθύνσεων εμφανίζει το domain σας ανά πάσα στιγμή, κανείς δεν υποψιάζεται τίποτα μέχρι να φτάσουν τα χαρτιά απάτης.
Το email σας ανακατευθύνεται αθόρυβα: ένας εισβολέας πλαστογραφεί την απάντηση για τους mail servers σας, διαβάζει ή παρακάμπτει μηνύματα.
Μια ημι-ρυθμισμένη ρύθμιση DNSSEC κάνει τον ιστότοπο και το email σας να αποτυγχάνουν τυχαία για πελάτες σε μεγάλους ISPs και εταιρικά δίκτυα — διαλείπουσες αναφορές 'ο ιστότοπός σας είναι κατεβασμένος για μένα' που δεν μπορείτε να αναπαραγάγετε.
Η ομάδα ασφαλείας υποψήφιου εκτελεί προ-συμβολαίου έλεγχο, βλέπει καμία DNSSEC, και σας σημειώνει ως αδύνατους στα θεμελιώδη.
Δημόσιοι και μεγαλύτεροι B2B αγοραστές αναμένουν ολοένα και περισσότερο DNSSEC ως baseline (αναφέρεται σε κανονισμούς όπως NIS2).

Γιατί έχει σημασία. Το DNS είναι το βιβλίο διευθύνσεων του internet, και από προεπιλογή οι απαντήσεις του ταξιδεύουν χωρίς υπογραφή — οποιοσδήποτε μπορεί να πλαστογραφήσει μια απάντηση μπορεί να στείλει τους πελάτες και το email σας οπουδήποτε, με το πραγματικό σας domain ακόμα εμφανές. Το DNSSEC βάζει αδύνατη-να-παραποιηθεί σφραγίδα σε αυτές τις απαντήσεις ώστε να μπορούν να επαληθευτούν ως γνήσια δικές σας.

DNSSEC, με απλά λόγια

Κάθε φορά που κάποιος επισκέπτεται τον ιστότοπό σας ή σας στέλνει email, ο υπολογιστής του πρώτα ρωτά το internet μια απλή ερώτηση: «πού βρίσκεται αυτό το domain;» Η απάντηση — το σύνολο διευθύνσεων για τον ιστότοπο και τους mail servers σας — επιστρέφεται από το DNS, το βιβλίο διευθύνσεων του internet.

Εδώ είναι το μη άνετο μέρος: από προεπιλογή, αυτές οι απαντήσεις ταξιδεύουν χωρίς υπογραφή. Αν κάποιος μπορεί να εισαγάγει πλαστογραφημένη απάντηση σε αυτή τη συνομιλία — και υπάρχουν αποδεδειγμένοι τρόποι να το κάνει ακριβώς αυτό — ο υπολογιστής του επισκέπτη σας θα τη δεχτεί ευχαρίστως.

Το DNSSEC είναι η διόρθωση. Προσθέτει αδύνατη-να-παραποιηθεί ψηφιακή σφραγίδα στις DNS απαντήσεις σας. Μια πλαστογραφημένη απάντηση αποτυγχάνει τον έλεγχο και απορρίπτεται.

Τι μπορεί να σας κοστίσει

Η αόρατη ανακατεύθυνση. Ένας εισβολέας δηλητηριάζει την DNS απάντηση για το domain σας. Πελάτες πληκτρολογούν την πραγματική web διεύθυνσή σας, βλέπουν το πραγματικό σας domain στη γραμμή, και καταλήγουν σε άψογο αντίγραφο της σελίδας σύνδεσης ή checkout φιλοξενούμενο από τον εισβολέα.
Αθόρυβη παρακολούθηση email. Το DNS δεν δείχνει μόνο στον ιστότοπό σας· δείχνει και στους mail servers σας. Πλαστογραφήστε αυτή την απάντηση και το εισερχόμενο email μπορεί να ανακατευθυνθεί πρώτα μέσω ενός εισβολέα.
Η διακοπή που δεν μπορείτε να αναπαράγετε. Αυτή έρχεται από ημιτελή ρύθμιση DNSSEC. Η δημόσια σφραγίδα (DS) κάθεται στον registrar σας, αλλά το αντίστοιχο κλειδί (DNSKEY) λείπει ή είναι λανθασμένο. Επισκέπτες σε ISPs και εταιρικά δίκτυα που ελέγχουν DNSSEC απλώς δεν μπορούν να επιλύσουν το domain σας.
Η χαμένη συμφωνία. Η ομάδα ασφαλείας υποψήφιου εκτελεί τακτική σάρωση του domain σας. Καμία DNSSEC εμφανίζεται ως κόκκινο σημάδι.

Τι είναι στην πραγματικότητα

Το DNSSEC λειτουργεί ως αλυσίδα εμπιστοσύνης, και έχει δύο κινούμενα μέρη που πρέπει να συμφωνούν.

Το DNSKEY — το κλειδί σας. Ο DNS πάροχός σας κρατά κρυπτογραφικό κλειδί και το χρησιμοποιεί για να υπογράφει τις εγγραφές DNS σας.

Η εγγραφή DS — το αποτύπωμα που εγγυάται για το κλειδί. Ένα σύντομο αποτύπωμα αυτού του κλειδιού, που ονομάζεται DS (Delegation Signer), δημοσιεύεται ένα επίπεδο παραπάνω — στο registry του domain σας, μέσω του registrar σας.

Για να σας προστατεύει πραγματικά το DNSSEC, και τα δύο πρέπει να υπάρχουν και να ταιριάζουν:

DS παρόν + DNSKEY παρόν και ταιριαστό → καλό. Η αλυσίδα εμπιστοσύνης είναι πλήρης.
Καθόλου DS (και καθόλου DNSKEY) → DNSSEC απλώς δεν είναι ενεργό. Δεν έχετε καμία προστασία, αλλά τίποτα δεν είναι χαλαστό.
DS παρόν, αλλά DNSKEY λείπει ή δεν ταιριάζει → χαλαστό, και χειρότερο από το να μην είναι ενεργό. Αυτή είναι η πιο επείγουσα κατάσταση για διόρθωση — υψηλής σοβαρότητας.
DNSKEY παρόν, αλλά καθόλου DS στον registrar → ενεργοποιημένο αλλά μη ενεργό. Εγγραφές υπογράφονται, αλλά χωρίς το αποτύπωμα το internet δεν μπορεί να τις εμπιστευτεί.

Πώς να το διορθώσετε (δωρεάν, ~10-30 λεπτά)

Δώστε αυτή την ενότητα σε όποιον διαχειρίζεται το domain ή τον ιστότοπό σας.

Ο χρυσός κανόνας: ενεργοποιήστε πρώτα την υπογραφή (που δημιουργεί το DNSKEY), μετά δημοσιεύστε την εγγραφή DS στον registrar — ποτέ στην αντίθετη σειρά, και ποτέ μόνο το ένα χωρίς το άλλο.

Το απλό μονοπάτι (συνιστάται — Cloudflare):

Βεβαιωθείτε ότι το Cloudflare εκτελεί πράγματι το DNS σας.
Πηγαίνετε σε DNS → Settings → DNSSEC → Enable DNSSEC. Το Cloudflare δημιουργεί και διαχειρίζεται τα κλειδιά για εσάς (αυτό δημιουργεί αυτόματα την πλευρά DNSKEY).
Το Cloudflare σας δείχνει τις λεπτομέρειες εγγραφής DS για δημοσίευση στον registrar σας.
Συνδεθείτε στον registrar domain σας (GoDaddy, Namecheap κ.λπ.) και βρείτε την ενότητα DNSSEC. Επικολλήστε τις τιμές DS που σας έδωσε το Cloudflare.
Περιμένετε 24-48 ώρες για πλήρη διάδοση.

Άλλοι DNS πάροχοι:

Στον πίνακα ελέγχου του DNS παρόχου σας, ενεργοποιήστε DNSSEC / «sign this zone».
Αντιγράψτε την εγγραφή DS που παράγει ο πάροχος.
Προσθέστε εκείνη την εγγραφή DS στον registrar σας.

Επαλήθευση:

Εκτελέστε dig DS yourdomain.com και dig DNSKEY yourdomain.com — και τα δύο πρέπει να επιστρέφουν εγγραφές.
Μην θεωρείτε τελειωμένο μέχρι και τα δύο να επιστρέφουν ταιριαστές εγγραφές.

Συνηθισμένα λάθη

Δημοσίευση DS πριν υπάρξει το κλειδί. Το πιο επιζήμιο λάθος: προσθήκη της εγγραφής DS στον registrar πριν η υπογραφή είναι ενεργή. Αυτό δημιουργεί την κατάσταση «δημοσιευμένη σφραγίδα, ελλείπον κλειδί» που κάνει το domain σας μη επιλύσιμο για επισκέπτες που ελέγχουν DNSSEC.
Αφήνοντας μπαγιάτικη DS πίσω μετά από μεταφορά παρόχων. Αν μεταφέρετε DNS παρόχους αλλά ξεχάσετε να αφαιρέσετε ή ενημερώσετε την παλιά εγγραφή DS στον registrar, καταλήγετε να δείχνετε σε κλειδί που δεν υπάρχει πια.
Σταματώντας μετά το πρώτο βήμα. Ενεργοποίηση υπογραφής στον DNS πάροχο (δημιουργία DNSKEY) αλλά ποτέ προσθήκη DS στον registrar. Κάνατε τη δουλειά χωρίς να αποκομίσετε κανένα όφελος.
Υπόθεση ότι HTTPS ή email authentication το καλύπτει ήδη. Το λουκέτο και τα SPF/DKIM/DMARC είναι πολύτιμα αλλά λύνουν διαφορετικά προβλήματα.
Μη παρακολούθηση μετά την ενεργοποίηση. Τα κλειδιά αλλάζουν, οι πάροχοι αλλάζουν, εγγραφές επεξεργάζονται. Μια τέλεια ρύθμιση σήμερα μπορεί να σπάσει αθόρυβα μήνες αργότερα.

Πού βρίσκεται στη βαθμολογία σας

Και οι δύο έλεγχοι μετράνε για τη βαθμολογία DNS Security. Ο έλεγχος DS αντιμετωπίζεται ως υψηλότερη προτεραιότητα: μια ελλείπουσα DS είναι πραγματικό κενό. Ο έλεγχος DNSKEY επιβεβαιώνει ότι η υπόλοιπη αλυσίδα είναι ακέραιη — επισημαίνει την επικίνδυνη κατάσταση «DS-χωρίς-κλειδί» ως υψηλής σοβαρότητας.

Ρυθμίστε το στον πάροχό σας

Βήμα προς βήμα για δημοφιλείς παρόχους:

Συχνές Ερωτήσεις

Δεν είμαι τεχνικός — χρειάζεται να το χειριστώ προσωπικά;

Όχι. Πρέπει να καταλαβαίνετε γιατί έχει σημασία (αυτή η σελίδα το καλύπτει αυτό), αλλά η πραγματική αλλαγή βρίσκεται στις DNS και registrar ρυθμίσεις του domain σας, οπότε ανήκει σε όποιον διαχειρίζεται το domain ή τον ιστότοπό σας. Δώστε του την ενότητα 'Πώς να το διορθώσετε' — είναι δωρεάν και χρειάζεται συνήθως λιγότερο από μισή ώρα.

Αν ο ιστότοπός μου έχει ήδη το λουκέτο (HTTPS), δεν είμαι ήδη προστατευμένος;

Προστατεύουν διαφορετικά πράγματα. Το λουκέτο ασφαλίζει τη σύνδεση μόλις επισκέπτης φτάσει στο σωστό server. Το DNSSEC προστατεύει το βήμα πριν από αυτό — κάνει σιγουρό ότι φτάνουν στο σωστό server. Χρειάζεστε και τα δύο.

Θα μπορούσε η ενεργοποίηση DNSSEC να σπάσει τον ιστότοπο ή το email μου;

Γίνεται σωστά σε έναν πάροχο που το υποστηρίζει, όχι — οι σύγχρονοι πάροχοι χειρίζονται τα κλειδιά για εσάς και απλώς λειτουργεί. Ο κίνδυνος έρχεται από το να το κάνετε σε δύο αποσυνδεδεμένα βήματα και να τελειώσετε μόνο ένα.

Φιλοξενούμε με Cloudflare / Google Workspace / Microsoft 365 — καλύπτει αυτό;

Όχι αυτόματα, αλλά το κάνει εύκολο. Αν το Cloudflare τρέχει το DNS σας, είναι ένα κλικ ενεργοποίηση συν επικόλληση μιας εγγραφής στον registrar σας.

Τι ακριβώς είναι οι 'DS' και 'DNSKEY' — και γιατί αναφέρει αυτή η σελίδα και τα δύο;

Είναι τα δύο μισά μιας κλειδαριάς. Το DNSKEY είναι το κλειδί που κρατά ο DNS πάροχός σας και χρησιμοποιεί για να υπογράφει τις εγγραφές σας. Το DS είναι ένα αποτύπωμα (fingerprint) αυτού του κλειδιού, δημοσιευμένο ένα επίπεδο παραπάνω στον registrar σας. Και τα δύο πρέπει να υπάρχουν και να ταιριάζουν.

Πόσο καιρό μέχρι να λειτουργεί, και πώς το επιβεβαιώνω;

Αφήστε 24-48 ώρες για να εξαπλωθεί πλήρως η αλλαγή. Για επιβεβαίωση, το ΙΤ σας μπορεί να εκτελέσει 'dig DS yourdomain' και 'dig DNSKEY yourdomain' και να δει εγγραφές που επιστρέφονται για αμφότερες.