Defaults.Exposed › Parandused › DNSSEC

Kuidas parandada DNSSEC

DNSSEC on digitaalne pitsat teie domeeni aadressiraamatul. See laseb internetil tõestada, et vastus küsimusele 'kus see domeen asub?' tuli tõesti teilt ja seda ei muudetud teel. Ilma selleta saab vastust võltsida — ja teie külastajad saadetakse vaikselt mujale.

Põhijareldus sinu ettevõttele: Ilma DNSSEC-ita saab ründaja, kes suudab DNS-vastust mürgitada, suunata teie kliente oma saidi täiusliku koopia juurde, samal ajal kui nende brauser näitab ikka teie päris domeeninimi. Sisselogimised, kaardisummad ja isikuandmed kogutakse, ning te saate teada alles tagasimaksetest ja kaebustest. Poolt lõpetatud katki DNSSEC seadistus on veelgi hullem: see võib teie saidi kättesaamatuks muuta kasvavale külastajate osale ilma ühtegi viga, mida te märkaksite.

Mida see sulle maksab

Külastajad, kes kirjutavad teie päris domeeni, suunatakse vaikselt üle sarnase välimusega kohale, mis kogub nende parooli ja kaardisummasid — ja kuna aadressiribas näitab kogu aeg teie domeeni, ei kahtlusta keegi midagi, kuni pettusaruanded saabuvad.
Teie meil suunatakse vaikselt ümber: ründaja võltsib vastuse teie meiliserveritest, loeb või peatab sõnumeid ja lähtestab paroole kontodel, mis saadavad teile koodi — kõike teie postkastit puutumata.
Poolt konfigureeritud DNSSEC seadistus (avalik pitsat eksisteerib, kuid puuduv vastav võti) põhjustab teie veebisaidi ja meili sattumusliku ebaõnnestumise klientide jaoks suurtel ISP-del ja ettevõtte võrkudel — vahelduvad 'teie sait on minu jaoks maas' aruanded, mida te ei saa reprodutseerida.
Potentsiaalse kliendi turvameeskond teeb eellepingulise kontrolli, näeb DNSSEC puuduvat, ja märgib teid põhitõdedes nõrgaks — pannes tehingu ohtu tasuta seadistuse pärast.
Avaliku sektori ja suuremad B2B ostjad ootavad üha enam DNSSEC-i kui alust (see on mainitud regulatsioonides nagu NIS2); selle puudumine diskvalifitseerib teid vaikselt pakkumistest enne, kui vestlus isegi algab.

Miks see on oluline. DNS on interneti aadressiraamat, ja vaikimisi reisivad selle vastused allkirjastamata — ükski, kes suudab libistada sisse võltsitud vastuse, saab saata teie kliendid ja meili ükskõik kuhu, kusjuures teie päris domeen näitab ikka brauseris. DNSSEC paneb nendele vastustele rikkumiskindla pitsati, et neid saab verifitseerida genuiinselt teie omana. Parandus on enamiku pakkujate juures tasuta; ainus tegelik kulu on selle vale tegemine, mistõttu me käime mõlemad pooled hoolikalt läbi.

DNSSEC lihtsas keeles

Iga kord, kui keegi külastab teie veebisaiti või saadab teile meili, esitab nende arvuti esmalt internetile lihtsa küsimuse: “kus see domeen tegelikult asub?” Vastus — aadresside kogum teie saidi ja meiliserveri jaoks — tuleb tagasi DNS-ist, interneti aadressiraamatust.

Siin on ebamugav osa: vaikimisi reisivad need vastused allkirjastamata. Pole midagi lisaks tõestamaks vastuse autentsust. Kui keegi suudab libistada sisse võltsitud vastuse sellesse vestlusesse — ja on hästi tuntud, tõestatud viise seda täpselt teha — aktsepteerib teie külastaja arvuti seda meelsasti. Sellest hetkest alates saab külastaja rääkida ründaja serveriga, samal ajal kui nende brauser näitab ikka teie domeeni nime aadressiribal.

DNSSEC on parandus. See lisab teie DNS-vastustele rikkumiskindla digitaalse pitsati. Kui DNSSEC on sisselülitatud, saab internet matemaatiliselt verifitseerida, et vastus tuli tõesti teilt ja seda ei muudetud teel. Võltsitud vastus ebaõnnestub kontrollis ja visatakse ära. See on vahe aadressiraamatu vahel, milles keegi saab kirjutada, ja ühe vahel, kus iga kirje on allkirjastatud ja tunnistajatega kinnitatud.

See leht katab kaks osa, mida meie kontroll koos vaatab: kas pitsat on avaldatud (DS kirje) ja kas vastav võti selle taga tegelikult eksisteerib (DNSKEY kirje). Näete peagi, miks mõlemad loevad — kuna ühe omamine ilma teiseta on omaette tüüpi probleem.

Mida see võib teile maksma minna

Need on realistlikud, agregeeritud mustrid.

Nähtamatu ümbersuunamine. Ründaja mürgitab DNS-vastuse teie domeeni jaoks. Kliendid kirjutavad teie päris veebiaadress, näevad teie päris domeeni ribal, ja jõuavad teie sisselogimis- või kassalehe laitmatusse koopias, mis on hostitud ründaja poolt. Iga parool ja kaardisumma, mille nad sisestavad, läheb otse kurjategijale. Kuulete sellest alles siis, kui tagasimaksed ja “mind häkiti teie saidi kaudu” kõned algavad — ning jälg viib tagasi teie kaubamärgile, mitte ründajale.
Vaikne meili pealtkuulamine. DNS ei osuta mitte ainult teie veebisaidile; see osutab teie meiliserveriitele. Võltsige see vastus ja sissetulevat meili saab esmalt ründaja kaudu suunata. Nad loevad tundlikke sõnumeid, koguvad ühekordseid koode, mida teenused saadavad teile “verifitseerimiseks, et see olete teie”, ja lähtestab paroole kontodel, mis on seotud teie domeeniga — kõike ilma teie postkasti sisse logimata.
Katkestus, mida te ei suuda reprodutseerida. See tuleb poolt lõpetatud DNSSEC seadistusest. Avalik pitsat (DS) istub teie registraatoris, kuid vastav võti (DNSKEY) puudub või on vale. ISP-del ja ettevõtte võrkudel olevad külastajad, kes kontrollivad DNSSEC-i — ja neid on iga aastaga rohkem — ei saa lihtsalt teie domeeni lahendada. Teie sait ja meil töötavad teie ja teie tehnikaoskustega inimeste jaoks suurepäraselt, kuid osa päris kliente saavad “see sait pole kättesaadav” ilma veateta, mida te näha saate. See on üks raskemaid probleeme diagnoosida täpselt seetõttu, et see on seestpoolt nähtamatu.
Kaotatud tehing. Potentsiaalse kliendi turva- või hanketiim teeb tavapärase eellepingulise skannimise teie domeenist. DNSSEC puudumine ilmub punase märgena “DNS-i turvalisuse põhitõdedele”. Tasuta, hästi mõistetud kontrolli jaoks loetakse selle puudumine hooletuseks — ning see võib vaikselt maksta lepingut, millest te kunagi ei teadnud, et see ohus oli.
Pakkumine, milleks te isegi ei kvalifitseeru. Regulatsioonid ja ostjate kontrollnimekirjad nimetavad üha enam DNSSEC-i oodatava aluste hügieenina (see on viidatud NIS2 DNS-turvalisuse sätete all). Suuremad B2B ja avaliku sektori ostjad võivad filtreerida teid välja enne müügivestlust, lihtsalt seetõttu, et kast pole märgistatud.

Mis see tegelikult on

DNSSEC töötab usaldusahelana ja sellel on kaks liikuvat osa, mis peavad üksteisega nõustuma. See on meie kontrolli kahe asja vaatamise tuuma.

DNSKEY — teie võti. Teie DNS-pakkuja hoiab krüptograafilist võtit ja kasutab seda teie DNS-kirjete allkirjastamiseks. Selle võtme avalik pool avaldatakse DNSKEY kirjendina. Mõelge sellest kui teie poolel hoitavast pitsatitemplist.

DS kirje — võtit käendav sõrmejälg. Selle võtme lühike sõrmejälg, nimega DS (Delegation Signer) kirje, avaldatakse ühe taseme üles — teie domeeni registris, teie registraatori kaudu. See on see, mis laseb ülejäänud internetil teie võtit usaldada: iga tase käendab allpool olevat, kõik teed üles interneti juurini. DS on pitsat, mis on ametlikult registreeritud, et kõik teised saavad seda ära tunda.

DNSSEC kaitseks peab mõlemad olema kohal ja peavad kattuma:

DS kohal + DNSKEY kohal ja vastav → hea. Usaldusahel on täielik. Võltsitud vastused lükatakse tagasi; legitiimsed verifitseeritakse. See on “läbimine” olek.
DS puudub (ja DNSKEY puudub) → DNSSEC lihtsalt pole sisse lülitatud. Teil pole kaitset, kuid midagi pole katki. See on kõige levinum “pole veel tehtud” olek. (Meie hindamisel loeb see DS kontrolli teie vastu; kombineeritud võtme kontroll käsitleb puhast, täielikult “väljas” olekut informatiivsena, mitte kõva ebaõnnestumisena, kuna midagi pole aktiivselt katki.)
DS kohal, kuid DNSKEY puudub või ei ühti → katki, ja halvem kui väljas. Internet näeb avaldatud pitsatit, mis osutab võtmele, mida pole seal. Valideerivad lahendajad jõuavad järeldusele, et teie domeeniga on manipuleeritud ja keelduvad seda lahendamast — põhjustades ülalkirjeldatud vahelduvaid katkestusi. See on kõige kiireloomulisem olek parandamiseks, ning meie kontroll märgib seda kõrge raskusega.
DNSKEY kohal, kuid DS puudub registraatoris → sisselülitatud, kuid mitte aktiveeritud. Teie kirjed on allkirjastatud, kuid kuna sõrmejälge pole kunagi registreeritud ühe taseme üles, pole ülejäänud internetil viisi neid usaldada. Te saate töö ilma kaitseta. Parandus on DS kirje lisamine teie registraatoris.

Mis näeb välja “hea” ühes lauses: DS kirje teie registraatoris, mille sõrmejälg vastab elavale DNSKEY-le teie DNS-pakkuja juures, mõlemad kinnitatud kiire otsimisega.

Kuidas seda parandada (tasuta, ~10–30 minutit)

Andke see jaotis teie domeeni või veebisaiti haldavale isikule. Parandus ise on enamiku pakkujate juures tasuta — ainus kulu on selle hoolikas tegemine, et kaks poolt jääksid sünkroonis. Me küsime tasu ainult siis, kui soovite hiljem, et me jälgiksime selle korralikku sisselülitamist.

Kuldreegel: lubage allkirjastamine esmalt (mis loob DNSKEY), seejärel avaldage DS kirje registraatoris — mitte kunagi teistpidi, ega kunagi üks ilma teiseta. DS-i avaldamine enne võtme eksisteerimist on täpselt see, mis põhjustab katkestusi.

Lihtne tee (soovitatav — Cloudflare):

Cloudflare’is veenduge, et Cloudflare tegelikult käitab teie DNS-i (teie nimeserverid osutavad Cloudflare’ile).
Minge DNS → Seadistused → DNSSEC → Luba DNSSEC. Cloudflare genereerib ja haldab teie eest võtmeid (see loob DNSKEY poole automaatselt).
Cloudflare näitab teile DS kirje üksikasju avaldamiseks teie registraatoris.
Logige sisse oma domeeniregistraatorisse (nt GoDaddy, Namecheap jne) ja leidke DNSSEC jaotis. Kleepige Cloudflare’i antud DS väärtused.
Oodake 24–48 tundi täielikuks levimiseks. Teie sait ja meil töötavad kogu selle aja.

Teised DNS-pakkujad (AWS Route 53, teie veebihost jne):

Teie DNS-pakkuja juhtpaneelil lubage DNSSEC / “allkirjasta see tsoon”. See genereerib allkirjastamisvõtmed ja avaldab DNSKEY kirjed.
Kopeerige pakkuja toodetud DS kirje.
Lisage see DS kirje oma registraatoris selle DNSSEC seadete all.
Kinnitage, et registraator selle aktsepteeris, ja oodake levimist.

Platvormihoiatused:

Cloudflare — ühe klõpsuga lubamine, seejärel üks DS kleepimine registraatoris. Kaugelt lihtsaim tee.
AWS Route 53 — lubage hostitud tsoonis DNSSEC allkirjastamine, seejärel lisage DS kirje teie domeeni registraatoris (kui domeen on registreeritud Route 53-s, saab AWS seda teie eest linkida).
Microsoft 365 / Google Workspace — need käitavad teie meili, tavaliselt mitte teie DNS-tsooni. DNSSEC luuakse kus iganes teie DNS-kirjed tegelikult elavad (sageli teie registraator, host või Cloudflare), mitte 365/Workspace adminikeskuses.
Teie DNS-pakkuja ei toeta DNSSEC-i üldse? See on levinud vanemate või odavamate hostide puhul. Puhas parandus on DNS-halduse liikumine pakkujale, kes seda toetab (Cloudflare on tasuta), seejärel järgige ülalpool toodud lihtsat teed. DNS-i liikumine ei nõua teie veebisaidi ega meili liikumist.

Verifitseerige, et see töötas:

Käivitage dig DS teiedomeeni.com ja dig DNSKEY teiedomeeni.com — mõlemad peaksid tagastama kirjeid.
Või kasutage mis tahes tasuta veebipõhist DNSSEC kontrollimise tööriista ja kinnitage roheline/kehtiv usaldusahel.
Ärge pidage seda tehtuks, kuni mõlemad tagastavad vastavad kirjed. DS ilma DNSKEY-ta on katki olek — parandage või eemaldage see kohe.

Levinud vead

DS avaldamine enne, kui võti eksisteerib. Üksiku kõige kahjulikuma vea: DS kirje lisamine registraatoris enne, kui allkirjastamine on tegelikult elus DNS-pakkuja juures. See loob “avaldatud pitsat, puuduv võti” oleku, mis muudab teie domeeni DNSSEC-i kontrollimist teostavatele külastajatele lahendamatuks. Lubage alati esmalt allkirjastamine, seejärel avaldage DS.
Vana DS-i jätmine maha pärast pakkujate vahetamist. Kui migreerite DNS-pakkujaid (või keelate allkirjastamise), kuid unustate registraatoris vana DS kirje eemaldada või uuendada, jäätega osutamist võtmele, mida enam pole — sama katki tulemus. Kui lülitate DNSSEC välja või liigute sellega, uuendage DS registraatoris samas muudatuses.
Peatumine pärast esimest sammu. DNSSEC allkirjastamise lubamine DNS-pakkuja juures (DNSKEY loomine), kuid kunagi DS-i mitte lisamine registraatoris. Kõik näib DNS-armatuurlauas “sisse lülitatud”, kuid DS-i puudumisel kaitse kunagi ei aktiveerugi. Tegite töö ja ei saanud midagi kasu.
Eeldamine, et HTTPS või meili autentimine katab juba selle. Tabalukk ja meili autentimine (SPF / DKIM / DMARC) on väärtuslikud, kuid lahendavad erinevaid probleeme. Ükski neist ei peata võltsitud DNS-vastust, mis saadab külastajad esimesse valesse kohta.
Pärast lubamist mitte jälgimine. Võtmeid vahetatakse, pakkujad vahetuvad, kirjeid muudetakse. Seadistus, mis on täna täiuslik, võib mitu kuud hiljem vaikselt puruneda. Kui DNSSEC on piisavalt oluline lubamiseks, on seda väärt perioodiline kontroll, et see on ikka kehtiv.

Kus see asub teie hindamisel

Mõlemad need kontrollid loevad teie DNS-i turvalisuse skooris. DS kirje kontroll käsitletakse kõrgema prioriteediga kahest: puuduv DS on tegelik lünk ja see hinnatakse ebaõnnestumisena. DNSKEY kontroll kinnitab ülejäänud ahela terviklust — see läbib ainult siis, kui vastav DS ja DNSKEY on mõlemad kohal, ning see märgib ohtliku “DS-ilma-võtmeta” katki oleku kõrge raskusega. Puhas “DNSSEC pole veel lubatud” tulemus on paljude ettevõtete tavapärane lähtepunkt; sellest liikumine täieliku, vastava DS + DNSKEY paarini on tasuta, hästi mõistetud täiendus, mis parandab teie DNS-i turvalisuse seisundit ja eemaldab tegeliku isikustavamise ja pealtkuulamise võimaluse.

Seadista oma majutuses

Samm-sammult populaarsete teenusepakkujate jaoks:

KKK

Ma pole tehniline — kas pean seda isiklikult käsitlema?

Ei. Peate mõistma, miks see loeb (see leht katab seda), kuid tegelik muudatus asub teie domeeni DNS-i ja registraatori seadetes, nii et see kuulub teie domeeni või veebisaiti haldavale isikule. Andke neile 'Kuidas seda parandada' jaotis — see on tasuta ja võtab tavaliselt alla pool tunni. Me küsime tasu ainult siis, kui soovite hiljem, et me jälgiksime, et see jääb korralikult sisselülitatuks.

Kui minu saidil on juba tabalukk (HTTPS), kas pole ma juba kaitstud?

Need kaitsevad erinevaid asju. Tabalukk turvab ühenduse, niipea kui külastaja on jõudnud õigesse serverisse. DNSSEC kaitseb sammu enne seda — veendumaks, et nad jõuavad esmalt õigesse serverisse. Ründaja, kes võltsib teie DNS-i, saab saata külastajad oma serverisse, millel võib olla omaenda kehtiv tabalukk sarnase domeeniga või isegi teie koopia. Vajate mõlemat; üks ei asenda teist.

Kas DNSSEC sisselülitamine võib lõhkuda minu veebisaiti või meili?

Ühes kohas tehes pakkuja poolt, kes seda toetab, ei — kaasaegsed pakkujad käsitlevad võtmeid teie eest ja see lihtsalt töötab. Risk tuleb kahes ühendamata sammus tegemisest ja ainult ühe lõpetamisest: avaliku 'pitsati' (DS kirje) avaldamisest teie registraatoris, samal ajal kui vastav võti (DNSKEY) puudub või ei ühti. See katki olek on hullem kui DNSSEC puudumine ja põhjustab vahelduvaid katkestusi. Allolevad sammud hoiavad kaks poolt sünkroonis, nii et seda ei juhtu.

Hostisime Cloudflare'iga / Google Workspace'iga / Microsoft 365-ga — kas see katab selle?

Mitte automaatselt, kuid see muudab selle lihtsaks. Oluline on see, kus teie DNS-i hallatakse. Kui Cloudflare käitab teie DNS-i, on see ühe klõpsuga lubamine pluss ühe kirje kleepimine teie registraatoris. Microsoft 365 ja Google Workspace käsitlevad meili, tavaliselt mitte teie DNS-tsooni — DNSSEC luuakse kus iganes teie domeeni DNS-kirjed tegelikult elavad (sageli Cloudflare, teie registraator või teie host). Allolevad sammud katavad levinud juhtumid.

Mis täpselt on 'DS' ja 'DNSKEY' — ja miks see leht mõlemat mainib?

Need on ühe luku kaks poolt. DNSKEY on võti, mida teie DNS-pakkuja hoiab ja kasutab teie kirjete allkirjastamiseks. DS on selle võtme sõrmejälg, avaldatuna ühe taseme *üles* teie registraatoris, et ülejäänud internet saaks kinnitada, et võti on tõesti teie. Mõlemad peavad olema kohal ja peavad kattuma. Me kontrollime mõlemat: puuduv DS tähendab, et DNSSEC pole sisselülitatud; DS ilma vastava DNSKEY-ta tähendab, et see on sisselülitatud, kuid katki.

Kui kaua see töötamiseni läheb ja kuidas kinnitan?

Lubage 24–48 tundi muudatuse täielikuks levimiseks interneti ulatuses; teie olemasolev sait ja meil töötavad kogu selle aja, kui seda tehakse korrektselt. Kinnitamiseks saab teie IT-inimene käivitada 'dig DS teiedomeeni' ja 'dig DNSKEY teiedomeeni' ja näha kirjeid mõlemale tagastatud, või kasutada mis tahes tasuta veebipõhist DNSSEC kontrollimise tööriista.