Defaults.Exposed

Defaults.Exposed › گزارش‌ها

DNSSEC چیست — و آیا واقعاً به آن نیاز دارید؟ (۲۰۲۶)

منتشرشده 2026-07-01

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه‌ی ۷. داده‌های سرشماری تجمیعی در سراسر 261 میلیون دامنه‌ی نمره‌گذاری‌شده. DNSSEC امضاهای رمزنگاری‌شده را به DNS می‌افزاید تا یک تحلیل‌گر (resolver) بتواند اثبات کند که پاسخ واقعاً از سوی شما آمده و دستکاری نشده است. ببینید چگونه نمره‌گذاری می‌کنیم.

DNSSEC هر پاسخ DNS دامنه‌ی شما را با یک امضا مهر می‌کند، تا مهاجم نتواند پنهانی پاسخی جعلی را جایگزین کند و بازدیدکنندگان شما را به جای دیگری بفرستد. این یکی از کم‌پذیرش‌ترین کنترل‌ها در وب است: تنها 1.99٪ از 261 میلیون دامنه یک زنجیره‌ی امضاشده‌ی معتبر دارند. همچنین یکی از معدود مواردی است که پیکربندی بد بدتر از نبود آن است — 3.02٪ از دامنه‌ها امضاشده اما خراب‌اند، که می‌تواند آن‌ها را از دسترس خارج کند. در ادامه توضیح می‌دهیم که چه می‌کند و آیا به آن نیاز دارید.

DNSSEC در واقع از چه چیزی محافظت می‌کند

DNS ساده هیچ راهی برای اثبات اصالت یک پاسخ ندارد. این موضوع در را به روی مسموم‌سازی حافظه‌ی نهان (cache poisoning) و جعل DNS در مسیر (on-path) باز می‌کند — مهاجم یک رکورد جعلی را به تحلیل‌گر می‌خوراند و بازدیدکنندگان یا ایمیل شما را به سرور خود هدایت می‌کند، بدون هیچ هشدار گواهی‌ای که آن را لو بدهد. DNSSEC این شکاف را با امضای رکوردها می‌بندد، به‌گونه‌ای که یک تحلیل‌گر تأییدکننده هر چیزی را که تأیید نشود رد می‌کند.

کاری که نمی‌کند: DNS را رمزنگاری نمی‌کند، خودِ وب‌سایت را ایمن نمی‌کند و جایگزین HTTPS، DMARC یا CAA نیست. این تنها یک لایه است — یکپارچگی برای پاسخ‌های DNS.

تصویر پذیرش

بر اساس پسوند دامنه، DNSSEC معتبر دامنه‌ی گسترده‌ای دارد: 18.38٪ در ‎.se، ‏11.86٪ در ‎.nl، ‏14.62٪ در ‎.cz — در برابر تنها 1.62٪ در ‎.com.

آیا به آن نیاز دارید؟

چگونه آن را با ایمنی روشن کنیم

  1. از میزبان DNS استفاده کنید که DNSSEC را خودکار می‌کند — امضا و چرخش کلیدها برای شما مدیریت می‌شود (اکنون بیشتر ارائه‌دهندگان بزرگ این کار را تک‌کلیکی انجام می‌دهند). ببینید رفع DNSSEC.
  2. امضا را فعال کنید، سپس رکورد DS را منتشر کنید نزد ثبت‌کننده‌ی خود تا زنجیره‌ی اعتماد کامل شود.
  3. تأیید کنید که زنجیره پیش از آن‌که رها کنید به‌درستی تحلیل می‌شود — یک دامنه‌ی امضاشده اما خراب بدتر از دامنه‌ی امضانشده است.
  4. هرگز کلیدها را دستی مدیریت نکنید مگر آن‌که ابزار لازم برای چرخش قابل‌اعتماد آن‌ها را داشته باشید.

پرسش‌های پرتکرار

DNSSEC به زبان ساده چیست؟ مجموعه‌ای از امضاهای دیجیتال روی رکوردهای DNS شماست تا تحلیل‌گرها بتوانند اثبات کنند که پاسخ اصیل است و در مسیر انتقال جعل نشده است.

آیا واقعاً به DNSSEC نیاز دارم؟ بیشترین ارزش آن برای دامنه‌های پرهدف است و جایی که الزامات آن را می‌طلبند. برای بقیه یک گام خوب برای مقاوم‌سازی است اگر میزبان DNS شما آن را خودکار کند — خطر اصلی یک پیکربندی نادرست است، که 3.02٪ از دامنه‌ها در حال حاضر آن را دارند.

آیا DNSSEC داده‌های DNS مرا رمزنگاری می‌کند؟ خیر. یکپارچگی را اثبات می‌کند (پاسخ اصیل است) اما پرس‌وجو را پنهان نمی‌کند. آن یک فناوری متفاوت است (DoH/DoT).

آیا DNSSEC می‌تواند وب‌سایت مرا از کار بیندازد؟ یک امضای خراب یا منقضی‌شده می‌تواند دامنه‌ی شما را برای هر کسی که از یک تحلیل‌گر تأییدکننده استفاده می‌کند غیرقابل‌تحلیل کند. به همین دلیل امضای خودکار و چرخش کلید اهمیت دارند.

آیا DNSSEC رایگان است؟ بله در بیشتر میزبان‌های DNS مدرن — این یک تنظیم است، نه یک خرید.

DNSSEC دامنه‌ی خود را رایگان بررسی کنید

ببینید آیا دامنه‌ی شما امضاشده، معتبر و به‌درستی زنجیره‌بندی‌شده است — به‌صورت خصوصی و فقط برای مالک.

دامنه‌ی خود را بررسی کنید ← · رفع DNSSEC ← · آیا DNSSEC اجباری کارساز است؟ ← · چگونه نمره‌گذاری می‌کنیم ← · فقط داده‌های تجمیعی. داده‌ها در اتحادیه‌ی اروپا ذخیره و پردازش می‌شوند.