Defaults.Exposed › رفع اشکال‌ها › DNSSEC

چطور DNSSEC را رفع کنید

Q: من تکنیکی نیستم — آیا این چیزی است که باید شخصاً با آن کنار بیایم؟

نه. باید بفهمید چرا اهمیت دارد (این صفحه آن را پوشش میدهد)، اما تغییر واقعی در DNS دامنه و تنظیمات registrar شما زندگی میکند، پس متعلق به هر کسی است که دامنه یا وبسایت شما را مدیریت میکند. بخش 'چگونه آن را رفع کنیم' را به آنها بدهید — رایگان است و معمولاً کمتر از نیم ساعت طول میکشد.

Q: اگر سایتم از قبل قفل (HTTPS) دارد، مگر از قبل محافظت نشدهام؟

آنها چیزهای کاملاً متفاوتی محافظت میکنند. قفل اتصال را یک بار که بازدیدکننده به سرور درست رسید ایمن میکند. DNSSEC مرحلهی قبل از آن را محافظت میکند — مطمئن میشود ابتدا به سرور درست میرسند. یک مهاجم که DNS شما را جعل میکند میتواند بازدیدکنندگان را به سرور خودش بفرستد، که میتواند قفل معتبر خودش روی یک دامنهی شبیهسازی شده داشته باشد. هر دو را میخواهید؛ یکی دیگری را جایگزین نمیکند.

Q: آیا روشن کردن DNSSEC میتواند وبسایت یا ایمیلم را بشکند؟

توسط یک ارائهدهنده که آن را پشتیبانی میکند در یک جا انجام شده، نه — ارائهدهندگان مدرن کلیدها را برایتان مدیریت میکنند. ریسک از انجام دادن آن در دو مرحلهی جداگانه و فقط یکی را تمام کردن میآید: انتشار مهر عمومی (رکورد DS) در registrar در حالی که کلید تطابق (DNSKEY) گمشده یا نادرست است. آن حالت شکسته بدتر از هیچ DNSSEC است و خرابیهای متناوب ایجاد میکند.

Q: با Cloudflare / Google Workspace / Microsoft 365 هاست هستیم — آیا آن آن را پوشش میدهد؟

نه به طور خودکار، اما آن را آسان میکند. مدیریت DNS شما کجاست که اهمیت دارد. اگر Cloudflare DNS شما را اجرا میکند، یک فعالسازی یککلیک به علاوه چسباندن یک رکورد در registrar است.

Q: دقیقاً «DS» و «DNSKEY» چیستند — و چرا این صفحه هر دو را ذکر میکند؟

آنها دو نیمهی یک قفل هستند. DNSKEY کلیدی است که ارائهدهندهی DNS شما نگه میدارد و برای امضای رکوردهای شما استفاده میکند. DS یک اثر انگشت از آن کلید است، یک سطح بالاتر در registrar شما منتشر شده تا بقیهی اینترنت بتوانند تأیید کنند کلید واقعاً از شماست. هر دو باید حاضر باشند و باید تطابق داشته باشند.

DNSSEC یک مهر دیجیتال روی دفترچه آدرس دامنه‌ی شما است. به اینترنت اجازه می‌دهد ثابت کند پاسخ به «این دامنه کجا زندگی می‌کند؟» واقعاً از شما آمده و در راه دستکاری نشده. بدون آن، پاسخ می‌تواند جعل شود — و بازدیدکنندگانتان به‌آرامی جای دیگری فرستاده شوند.

نتیجه نهایی برای کسب‌وکار شما: بدون DNSSEC، یک مهاجم که می‌تواند یک پاسخ DNS را مسموم کند می‌تواند مشتریان شما را به یک کپی کامل از سایت شما هدایت کند در حالی که مرورگرشان همچنان نام دامنه‌ی واقعی شما را نشان می‌دهد. Login ها، شماره‌های کارت و داده‌های شخصی برداشت می‌شوند، و تنها از chargebacks و شکایات متوجه می‌شوید. یک راه‌اندازی DNSSEC نیمه‌کاره بدتر هم هست: می‌تواند سایت شما را برای بخش فزاینده‌ای از بازدیدکنندگان بدون هیچ خطایی که متوجه شوید غیرقابل دسترس کند.

هزینه این برای شما

بازدیدکنندگانی که دامنه‌ی واقعی شما را تایپ می‌کنند به‌آرامی به یک نمونه‌ی شبیه‌سازی شده هدایت می‌شوند که رمز عبور و جزئیات کارتشان را می‌گیرد — و چون نوار آدرس طول مدت دامنه‌ی شما را نشان می‌دهد، کسی چیزی را مشکوک نمی‌داند تا گزارش‌های تقلب برسد.
ایمیل شما به‌آرامی تغییر مسیر می‌دهد: یک مهاجم پاسخ mail server های شما را جعل می‌کند، پیام‌ها را می‌خواند یا رهگیری می‌کند، و رمزهای عبور را روی حساب‌هایی که ایمیل برایتان کد می‌فرستند بازنشانی می‌کند.
یک راه‌اندازی DNSSEC نیمه‌پیکربندی شده (مهر عمومی وجود دارد اما کلید تطابق گمشده است) وب‌سایت و ایمیل شما را به طور تصادفی برای مشتریان روی ISP های بزرگ و شبکه‌های سازمانی ناموفق می‌کند.
تیم امنیتی یک مشتری احتمالی یک بررسی قبل از قرارداد اجرا می‌کند، می‌بیند هیچ DNSSEC وجود ندارد، و شما را به عنوان ضعیف روی اصول مشخص می‌کند.
خریداران بخش عمومی و B2B بزرگ‌تر به طور فزاینده‌ای DNSSEC را به عنوان یک خط پایه انتظار دارند (در مقرراتی مثل NIS2 نامیده شده)؛ غیابش به‌آرامی شما را قبل از اینکه مکالمه‌ای حتی شروع شود از tender ها حذف می‌کند.

چرا اهمیت دارد. DNS دفترچه آدرس اینترنت است، و به طور پیش‌فرض پاسخ‌هایش بدون امضا سفر می‌کنند — هر کسی که بتواند یک پاسخ جعلی وارد کند می‌تواند مشتریان و ایمیل شما را به هر جایی بفرستد، با دامنه‌ی واقعی شما که همچنان در مرورگر نشان داده می‌شود. DNSSEC یک مهر ضد دستکاری روی آن پاسخ‌ها می‌گذارد تا بتوان تأیید کرد واقعاً از شما هستند. رفع در اکثر ارائه‌دهندگان رایگان است؛ تنها هزینه‌ی واقعی درست انجام ندادن آن است.

DNSSEC، به زبان ساده

هر بار که کسی از وب‌سایت شما بازدید می‌کند یا ایمیلی می‌فرستد، کامپیوترشان ابتدا از اینترنت یک سؤال ساده می‌پرسد: «این دامنه واقعاً کجا زندگی می‌کند؟» پاسخ — مجموعه‌ای از آدرس‌های سایت و mail server های شما — از DNS، دفترچه آدرس اینترنت، برمی‌گردد.

اینجا بخش ناراحت‌کننده است: به طور پیش‌فرض، آن پاسخ‌ها بدون امضا سفر می‌کنند. هیچ چیزی ضمیمه نشده تا ثابت کند پاسخ واقعی است. اگر کسی بتواند یک پاسخ جعلی وارد کند — و راه‌های اثبات شده‌ی معروفی برای دقیقاً انجام دادن این وجود دارد — کامپیوتر بازدیدکننده‌ی شما خوشحال آن را می‌پذیرد. از آن لحظه، بازدیدکننده می‌تواند با سرور مهاجم صحبت کند در حالی که مرورگرشان همچنان نام دامنه‌ی شما را در نوار آدرس نشان می‌دهد.

DNSSEC راه‌حل است. یک مهر دیجیتال ضد دستکاری به پاسخ‌های DNS شما اضافه می‌کند. با روشن بودن DNSSEC، اینترنت می‌تواند به طور ریاضی تأیید کند که پاسخ واقعاً از شما آمده و در راه تغییر نیافته. یک پاسخ جعلی بررسی را ناموفق می‌کند و دور انداخته می‌شود.

این صفحه دو بخشی را که بررسی ما با هم نگاه می‌کند پوشش می‌دهد: آیا مهر منتشر شده (رکورد DS) و آیا کلید تطابق پشت آن واقعاً وجود دارد (رکورد DNSKEY).

این چقدر ممکن است برای شما هزینه داشته باشد

تغییر مسیر نامرئی. یک مهاجم پاسخ DNS دامنه‌ی شما را مسموم می‌کند. مشتریان آدرس وب واقعی شما را تایپ می‌کنند، دامنه‌ی واقعی شما را در نوار می‌بینند، و روی یک کپی کامل از صفحه‌ی login یا checkout شما که توسط مهاجم میزبانی شده فرود می‌آیند.
رهگیری ایمیل آرام. DNS فقط به وب‌سایت شما اشاره نمی‌کند؛ به mail server های شما اشاره می‌کند. آن پاسخ را جعل کنید و ایمیل ورودی می‌تواند ابتدا از طریق یک مهاجم مسیریابی شود.
خرابی که نمی‌توانید بازتولید کنید. این یکی از یک راه‌اندازی DNSSEC نیمه‌کاره می‌آید. مهر عمومی (DS) در registrar شما نشسته، اما کلید تطابق (DNSKEY) گمشده یا اشتباه است. بازدیدکنندگان روی ISP ها و شبکه‌های سازمانی که DNSSEC را بررسی می‌کنند به سادگی نمی‌توانند دامنه‌ی شما را resolve کنند.
معامله‌ی از دست رفته. یک اسکن معمولی قبل از قرارداد روی دامنه‌ی شما. هیچ DNSSEC به عنوان یک نشانه‌ی قرمز روی «اصول اولیه‌ی DNS» ظاهر می‌شود.
Tender ای که حتی واجد شرایط نیستید. مقررات و چک‌لیست‌های خریدار به طور فزاینده‌ای DNSSEC را به عنوان بهداشت پایه‌ی انتظاری نام می‌برند (در مفاد DNS-security NIS2 ذکر شده).

در واقع چیست

DNSSEC به عنوان یک زنجیر اعتماد کار می‌کند، و دو بخش متحرک دارد که باید با یکدیگر موافق باشند.

DNSKEY — کلید شما. ارائه‌دهنده‌ی DNS شما یک کلید رمزنگاری نگه می‌دارد و از آن برای امضای رکوردهای DNS شما استفاده می‌کند. نیمه‌ی عمومی آن کلید به عنوان یک رکورد DNSKEY منتشر می‌شود.

رکورد DS — اثر انگشتی که کلید را تأیید می‌کند. یک اثر انگشت کوتاه از آن کلید، به نام رکورد DS (Delegation Signer)، یک سطح بالاتر منتشر می‌شود — در registry دامنه‌ی شما، از طریق registrar شما.

برای اینکه DNSSEC واقعاً از شما محافظت کند، هر دو باید حاضر باشند و باید تطابق داشته باشند:

DS حاضر + DNSKEY حاضر و تطابق → خوب. زنجیر اعتماد کامل است.
بدون DS (و بدون DNSKEY) → DNSSEC ساده‌ای روشن نیست. هیچ محافظتی نیست، اما هیچ چیزی شکسته نیست. (در نمره‌گذاری ما این جایی است که بررسی DS علیه شما حساب می‌شود.)
DS حاضر، اما DNSKEY گمشده یا نادرست → شکسته، و بدتر از خاموش. اینترنت یک مهر منتشر شده می‌بیند که به کلیدی اشاره می‌کند که آنجا نیست. این فوری‌ترین وضعیت برای رفع است، و بررسی ما آن را با شدت بالا نشانه‌گذاری می‌کند.
DNSKEY حاضر، اما بدون DS در registrar → روشن اما فعال نشده. رکوردهایتان امضا شده‌اند، اما چون اثر انگشت هرگز یک سطح بالاتر ثبت نشده، بقیه‌ی اینترنت هیچ راهی برای اعتماد به آن‌ها ندارد.

«خوب» چه شکلی است: یک رکورد DS در registrar شما که اثر انگشتش با یک DNSKEY زنده در ارائه‌دهنده‌ی DNS شما تطابق دارد.

چگونه آن را رفع کنیم (رایگان، ~۱۰–۳۰ دقیقه)

این بخش را به هر کسی که دامنه یا وب‌سایت شما را مدیریت می‌کند بدهید. خود رفع در اکثر ارائه‌دهندگان رایگان است.

قانون طلایی: ابتدا signing را فعال کنید (که DNSKEY را ایجاد می‌کند)، سپس رکورد DS را در registrar منتشر کنید — هرگز برعکس، و هرگز یکی بدون دیگری. انتشار DS قبل از اینکه کلید وجود داشته باشد دقیقاً همان چیزی است که خرابی ایجاد می‌کند.

مسیر ساده (توصیه شده — Cloudflare):

در Cloudflare، مطمئن شوید Cloudflare واقعاً DNS شما را اجرا می‌کند.
به DNS → Settings → DNSSEC → Enable DNSSEC بروید. Cloudflare کلیدها را برایتان تولید و مدیریت می‌کند (این به طور خودکار DNSKEY را ایجاد می‌کند).
Cloudflare جزئیات رکورد DS را برای انتشار در registrar شما نشان می‌دهد.
در registrar دامنه‌ی خود وارد شوید (مثل GoDaddy، Namecheap) و بخش DNSSEC را پیدا کنید. مقادیر DS ای که Cloudflare داد را بچسبانید.
۲۴–۴۸ ساعت منتظر انتشار کامل بمانید. سایت و ایمیل شما در طول مدت کار می‌کنند.

سایر ارائه‌دهندگان DNS (AWS Route 53، هاست وب، و غیره):

در پانل کنترل ارائه‌دهنده‌ی DNS خود، DNSSEC / «sign this zone» را فعال کنید.
رکورد DS که ارائه‌دهنده تولید می‌کند را کپی کنید.
آن رکورد DS را در registrar خود زیر تنظیمات DNSSEC اضافه کنید.
تأیید کنید registrar آن را پذیرفت و منتظر انتشار بمانید.

تأیید کنید کار کرد:

dig DS yourdomain.com و dig DNSKEY yourdomain.com را اجرا کنید — هر دو باید رکوردها را برگردانند.
یا از هر online DNSSEC checker رایگان استفاده کنید.
قبل از اینکه هر دو رکوردهای تطابق را برگردانند تمام شده تلقی نکنید.

اشتباهات رایج

انتشار DS قبل از اینکه کلید وجود داشته باشد. یگانه زیان‌بارترین اشتباه: اضافه کردن رکورد DS در registrar قبل از اینکه signing واقعاً در ارائه‌دهنده‌ی DNS زنده باشد.
رها کردن یک DS باقی‌مانده بعد از تعویض ارائه‌دهندگان. اگر DNS را منتقل می‌کنید اما رکورد DS قدیمی را در registrar فراموش کردید بردارید یا به‌روز کنید، به کلیدی اشاره می‌کنید که دیگر وجود ندارد.
توقف بعد از مرحله‌ی اول. فعال کردن signing در ارائه‌دهنده‌ی DNS (ایجاد DNSKEY) اما هرگز DS را در registrar اضافه نکردن. همه چیز «روشن» به نظر می‌رسد در dashboard DNS، اما بدون DS محافظت فعال نمی‌شود.
فرض کردن HTTPS یا احراز هویت ایمیل از قبل آن را پوشش می‌دهد. قفل و احراز هویت ایمیل (SPF / DKIM / DMARC) ارزشمند هستند اما مشکلات متفاوتی را حل می‌کنند.
نظارت نکردن بعد از فعال‌سازی. کلیدها rolled می‌شوند، ارائه‌دهندگان تغییر می‌کنند، رکوردها ویرایش می‌شوند. یک راه‌اندازی که امروز کامل است ممکن است ماه‌ها بعد به‌آرامی بشکند.

کجای نمره‌ی شما قرار می‌گیرد

هر دو بررسی به امتیاز DNS Security شما می‌افزایند. بررسی رکورد DS با اولویت بالاتر تلقی می‌شود: یک DS گمشده یک شکست واقعی است و به عنوان شکست نمره داده می‌شود. بررسی DNSKEY مابقی زنجیر را تأیید می‌کند — فقط وقتی یک DS و DNSKEY تطابق‌یافته هر دو حاضر باشند پاس می‌شود، و حالت خطرناک «DS-بدون-کلید» شکسته را با شدت بالا نشانه‌گذاری می‌کند.

آن را در هاست خود راه‌اندازی کنید

گام‌به‌گام برای ارائه‌دهندگان محبوب:

پرسش‌های متداول

من تکنیکی نیستم — آیا این چیزی است که باید شخصاً با آن کنار بیایم؟

نه. باید بفهمید چرا اهمیت دارد (این صفحه آن را پوشش می‌دهد)، اما تغییر واقعی در DNS دامنه و تنظیمات registrar شما زندگی می‌کند، پس متعلق به هر کسی است که دامنه یا وب‌سایت شما را مدیریت می‌کند. بخش 'چگونه آن را رفع کنیم' را به آن‌ها بدهید — رایگان است و معمولاً کمتر از نیم ساعت طول می‌کشد.

اگر سایتم از قبل قفل (HTTPS) دارد، مگر از قبل محافظت نشده‌ام؟

آن‌ها چیزهای کاملاً متفاوتی محافظت می‌کنند. قفل اتصال را یک بار که بازدیدکننده به سرور درست رسید ایمن می‌کند. DNSSEC مرحله‌ی قبل از آن را محافظت می‌کند — مطمئن می‌شود ابتدا به سرور درست می‌رسند. یک مهاجم که DNS شما را جعل می‌کند می‌تواند بازدیدکنندگان را به سرور خودش بفرستد، که می‌تواند قفل معتبر خودش روی یک دامنه‌ی شبیه‌سازی شده داشته باشد. هر دو را می‌خواهید؛ یکی دیگری را جایگزین نمی‌کند.

آیا روشن کردن DNSSEC می‌تواند وب‌سایت یا ایمیلم را بشکند؟

توسط یک ارائه‌دهنده که آن را پشتیبانی می‌کند در یک جا انجام شده، نه — ارائه‌دهندگان مدرن کلیدها را برایتان مدیریت می‌کنند. ریسک از انجام دادن آن در دو مرحله‌ی جداگانه و فقط یکی را تمام کردن می‌آید: انتشار مهر عمومی (رکورد DS) در registrar در حالی که کلید تطابق (DNSKEY) گمشده یا نادرست است. آن حالت شکسته بدتر از هیچ DNSSEC است و خرابی‌های متناوب ایجاد می‌کند.

با Cloudflare / Google Workspace / Microsoft 365 هاست هستیم — آیا آن آن را پوشش می‌دهد؟

نه به طور خودکار، اما آن را آسان می‌کند. مدیریت DNS شما کجاست که اهمیت دارد. اگر Cloudflare DNS شما را اجرا می‌کند، یک فعال‌سازی یک‌کلیک به علاوه چسباندن یک رکورد در registrar است.

دقیقاً «DS» و «DNSKEY» چیستند — و چرا این صفحه هر دو را ذکر می‌کند؟

آن‌ها دو نیمه‌ی یک قفل هستند. DNSKEY کلیدی است که ارائه‌دهنده‌ی DNS شما نگه می‌دارد و برای امضای رکوردهای شما استفاده می‌کند. DS یک اثر انگشت از آن کلید است، یک سطح بالاتر در registrar شما منتشر شده تا بقیه‌ی اینترنت بتوانند تأیید کنند کلید واقعاً از شماست. هر دو باید حاضر باشند و باید تطابق داشته باشند.

چقدر تا کار کردن طول می‌کشد، و چگونه تأیید می‌کنم؟

۲۴–۴۸ ساعت برای انتشار کامل؛ سایت و ایمیل موجود شما در طول مدت اگر درست انجام شود کار می‌کنند. برای تأیید، IT شما می‌تواند 'dig DS yourdomain' و 'dig DNSKEY yourdomain' را اجرا کند و رکوردهای برگشتی برای هر دو ببیند.