Defaults.Exposed › Korjaukset › DNSSEC

Kuinka korjata DNSSEC

DNSSEC on digitaalinen sinetti verkkotunnuksesi osoitekirjalle. Se antaa internetin todistaa, että vastaus 'missä tämä verkkotunnus sijaitsee?' tuli todella sinulta eikä sitä peukaloitu matkalla. Ilman sitä vastaus voidaan väärentää – ja kävijäsi lähetetään hiljaa jonnekin muualle.

Lyhyesti liiketoiminnallesi: Ilman DNSSECiä hyökkääjä, joka voi myrkyttää DNS-vastauksen, voi osoittaa asiakkaasi täydelliseen kopioon sivustostasi, kun heidän selaimensa näyttää edelleen sinun todellisen verkkotunnuksesi. Kirjautumiset, korttinumerot ja henkilökohtaiset tiedot kerätään, ja saat tietää vasta veloitusperuutuksista ja valituksista. Puoliksi tehty DNSSEC-asetus on vielä pahempi: se voi tehdä sivustosi tavoittamattomaksi kasvavalle osalle kävijöistä ilman virhettä, jonka koskaan huomaisit.

Mitä tämä voi maksaa sinulle

Kävijät, jotka kirjoittavat oikean verkkotunnuksesi, ohjataan hiljaa kopioon, joka kaappaa heidän salasanansa ja korttitietonsa – ja koska osoitepalkki näyttää verkkotunnuksesi koko ajan, kukaan ei epäile mitään, ennen kuin petosraportit saapuvat.
Sähköpostisi ohjataan hiljaa uudelleen: hyökkääjä väärentää vastauksen postipalvelimillesi, lukee tai sieppaa viestejä ja palauttaa salasanoja tileilläsi, jotka lähettävät sinulle koodin sähköpostitse – koskaan koskettamatta postilaatikkoasi.
Puoliksi konfiguroitu DNSSEC-asetus (julkinen sinetti on olemassa, mutta vastaava avain puuttuu) saa sivustosi ja sähköpostisi epäonnistumaan satunnaisesti asiakkailla suurilla internet-palveluntarjoajilla ja yritysverkoilla – ajoittaisia 'sivustosi on alhaalla minulle' -raportteja, joita et pysty toistamaan.
Prospektin tietoturvatiimi suorittaa sopimusta edeltävän tarkistuksen, ei näe DNSSECiä, ja merkitsee sinut perusosaamisen heikkoudeksi – asettaen sopimuksen riskiin ilmaisen asetuksen takia.
Julkiset ja suuremmat B2B-ostajat odottavat yhä enemmän DNSSECiä perustason hygieniaksi (se mainitaan säädöksissä kuten NIS2); sen puuttuminen hylkää sinut hiljaa tarjouskilpailuista ennen kuin keskustelu edes alkaa.

Miksi tällä on merkitystä. DNS on internetin osoitekirja, ja oletuksena sen vastaukset matkustavat allekirjoittamattomina – kuka tahansa, joka pystyy liukastamaan väärennösvastauksen, voi lähettää asiakkaasi ja sähköpostisi minne tahansa, todellisen verkkotunnuksesi näkyessä silti selaimessa. DNSSEC asettaa peukalointiturvan sinetit näihin vastauksiin, jotta ne voidaan todentaa aidosti sinulta tuleviksi. Korjaus on ilmainen useimmilla toimittajilla; ainoa todellinen kustannus on tehdä se väärin, minkä takia käymme molemmat puolet huolellisesti läpi.

DNSSEC, selkokielellä

Joka kerta kun joku vierailee verkkosivustollasi tai lähettää sinulle sähköpostia, heidän tietokoneensa kysyy ensin internetiltä yksinkertaisen kysymyksen: “missä tämä verkkotunnus oikeasti sijaitsee?” Vastaus – joukko osoitteita sivustollesi ja postipalvelimillesi – tulee takaisin DNS:stä, internetin osoitekirjasta.

Tässä on epämukava osa: oletuksena nuo vastaukset matkustavat allekirjoittamattomina. Mitään ei liitetä mukaan todistamaan vastauksen olevan aito. Jos joku pystyy liukastamaan väärennösvastauksen tuohon keskusteluun – ja siihen on hyvin tunnettuja, todistettuja tapoja – kävijän tietokone hyväksyy sen mielellään. Siitä hetkestä eteenpäin kävijä voi puhua hyökkääjän palvelimen kanssa, kun heidän selaimensa näyttää sinun verkkotunnuksesi osoitepalkissa.

DNSSEC on korjaus. Se lisää peukalointiturvan digitaalisen sinetit DNS-vastauksiin. Kun DNSSEC on kytketty päälle, internet voi matemaattisesti todentaa, että vastaus todella tuli sinulta eikä sitä muutettu matkalla. Väärennösvastauspäisee täsmäämättömäksi ja heitetään pois. Se on ero osoitekirjan välillä, johon kuka tahansa voi kriitata, ja sellaisen, jossa jokainen merkintä on allekirjoitettu ja todistettu.

Tämä sivu kattaa kaksi osaa, joita tarkistuksemme katsoo yhdessä: onko sinetti julkaistu (DS-tietue) ja onko sen taustalla oleva vastaava avain todella olemassa (DNSKEY-tietue). Näet pian miksi molemmat ovat tärkeitä – koska toisen ilman toisen oleminen on omat ongelmansa.

Mitä tämä voi maksaa yrityksellesi

Näkymätön uudellenohjaus. Hyökkääjä myrkyttää DNS-vastauksen verkkotunnuksellesi. Asiakkaat kirjoittavat oikean verkkoosoitteen, näkevät oikean verkkotunnuksen palkissa, ja laskeutuvat virheettömään kopioon kirjautumis- tai kassasivustasi, jota hyökkääjä isännöi. Jokainen salasana ja korttinumero, jonka he syöttävät, menee suoraan rikolliselle. Kuulet siitä vasta kun veloitusperuutukset ja “minut hakkeroitiin sivustosi kautta” -puhelut alkavat – ja jälki johtaa brändiisi, ei hyökkääjälle.
Hiljainen sähköpostin sieppaus. DNS ei vain osoita verkkosivustoasi; se osoittaa postipalvelimesi. Väärentää tuo vastaus ja saapuva sähköposti voidaan ohjata ensin hyökkääjän kautta. He lukevat arkaluonteisia viestejä, keräävät kertakäyttöiset koodit, jotka palvelut lähettävät sähköpostilla “varmistaakseen sinun” ja palauttavat salasanat verkkotunnukseesi sidotuille tileille – astumatta koskaan postilaatikkoosi.
Käyttökatko, jota et pysty toistamaan. Tämä tulee puoliksi tehosta DNSSEC-asetuksesta. Julkinen sinetti (DS) istuu rekisteröijälläsi, mutta vastaava avain (DNSKEY) puuttuu tai on väärä. Internet-palveluntarjoajilla ja yritysverkoilla olevat kävijät, jotka tarkistavat DNSSECin – ja heitä on enemmän vuosi vuodelta – eivät yksinkertaisesti pysty ratkaisemaan verkkotunnustasi lainkaan. Sivustosi ja sähköpostisi toimivat hienosti sinulle ja teknikollesi, mutta osa todellisista asiakkaista saa “tätä sivustoa ei voi tavoittaa” ilman virhettä, jonka pystyisit näkemään. Se on yksi vaikeimmista ongelmista diagnosoida täsmälleen siksi, koska se on näkymätön sisältä.
Menetetty sopimus. Prospektin turvallisuus- tai hankintatiimi suorittaa rutiinin sopimusta edeltävän skannauksen verkkotunnuksestasi. Ei DNSSECiä näkyy punaisena merkkinä “DNS-tietoturvan perusasioista”. Ilmaista, hyvin ymmärrettyä hallintaa ei ollut, ja se lukee huolimattomuutena – ja voi hiljaa maksaa sinulle sopimuksen, jonka koskaan tiesit olevan vaarassa.
Tarjouskilpailu, johon et edes kelpaa. Säädökset ja ostajien tarkistuslistat mainitsevat yhä enemmän DNSSECin odotettuna perustason hygieniana (siihen viitataan NIS2:n DNS-turvallisuusmääräyksissä). Suuremmat B2B ja julkisen sektorin ostajat saattavat suodattaa sinut pois ennen myyntikeskustelun alkua, yksinkertaisesti koska ruutua ei ole merkitty.”

Mitä se oikeasti on

DNSSEC toimii luottamusketjuna, ja sillä on kaksi liikkuvaa osaa, joiden täytyy olla samaa mieltä toistensa kanssa. Tämä on tarkistuksen katsomisen kahteen asiaan ydin.

DNSKEY – avaimesi. DNS-toimittajasi pitää kryptografista avainta ja käyttää sitä DNS-tietueidesi allekirjoittamiseen. Tuon avaimen julkinen puoli on julkaistu DNSKEY-tietueena. Ajattele sitä sinun puolellasi pidettynä sinettisinettinä.

DS-tietue – avaimesta vastaava sormenjälki. Lyhyt sormenjälki siitä avaimesta, nimeltä DS (Delegation Signer) -tietue, on julkaistu tasoa ylöspäin – verkkotunnuksesi rekisterissä rekisteröijäsi kautta. Tämä on se, mikä antaa muun internetin luottaa avaimesi: jokainen taso takaa alla olevan, kaikki ylös internetin juureen. DS on sinetti, joka on virallisesti rekisteröity jotta kaikki muut voivat tunnistaa sen.

Jotta DNSSEC todella suojaisi sinua, molempien täytyy olla läsnä ja täsmätä:

DS läsnä + DNSKEY läsnä ja täsmäävä → hyvä. Luottamusketju on täydellinen. Väärennösvastaukset hylätään; lailliset todennetaan. Tämä on “läpäisy”-tila.
Ei DS:ää (eikä DNSKEYtä) → DNSSEC ei yksinkertaisesti ole käytössä. Sinulla ei ole suojaa, mutta mitään ei ole rikki. Tämä on yleisin “ei vielä tehty” -tila.
DS läsnä, mutta DNSKEY puuttuu tai ei täsmää → rikki, ja pahempaa kuin pois. Internet näkee julkaistun sinetit, joka osoittaa avaimeen, jota ei ole siellä. Validoivat selvittäjät päättelevät, että verkkotunnuksesi on muokattu, ja kieltäytyvät ratkaisemasta sitä – aiheuttaen yllä kuvatut ajoittaiset käyttökatkot. Tämä on kiireellisin tila korjata, ja tarkistuksemme merkitsee sen korkean vakavuuden luokkaan.
DNSKEY läsnä, mutta ei DS:ää rekisteröijällä → kytketty päälle, mutta ei aktivoitu. Tietueesi on allekirjoitettu, mutta koska sormenjälkeä ei koskaan rekisteröity tasoa ylöspäin, muulla internetillä ei ole tapaa luottaa niihin. Saat työn ilman suojan. Korjaus on lisätä DS-tietue rekisteröijälläsi.

Miltä “hyvä” näyttää yhdellä rivillä: DS-tietue rekisteröijälläsi, jonka sormenjälki täsmää live-DNSKEYn kanssa DNS-toimittajallasi, molemmat vahvistettu pikahaku.

Korjausohje (ilmainen, n. 10–30 minuuttia)

Anna tämä osio sille, joka hallinnoi verkkotunnustasi tai verkkosivustoasi. Itse korjaus on ilmainen useimmilla toimittajilla – ainoa kustannus on tehdä se huolellisesti niin, että kaksi puolta pysyy synkronisoituina. Veloitamme vain jos myöhemmin haluat meidän valvovan, että se pysyy oikein käytössä.

Kultainen sääntö: ota allekirjoitus ensin käyttöön (mikä luo DNSKEYn), sitten julkaise DS-tietue rekisteröijällä – ei koskaan toisin päin, eikä koskaan yhtä ilman toista. DS-tietueen julkaiseminen ennen avaimen olemassaoloa on täsmälleen se, mikä aiheuttaa käyttökatkoja.

Yksinkertaisin polku (suositeltu – Cloudflare):

Cloudflare:ssa, varmista, että Cloudflare todella pyörittää DNS:äsi (nimipalvelimesi osoittavat Cloudflareen).
Mene DNS → Asetukset → DNSSEC → Ota DNSSEC käyttöön. Cloudflare luo ja hallinnoi avaimia puolestasi (tämä luo DNSKEYn puolen automaattisesti).
Cloudflare näyttää sinulle DS-tietueen tiedot rekisteröijälläsi julkaistavaksi.
Kirjaudu verkkotunnuksen rekisteröijälläsi (esim. GoDaddy, Namecheap, OVH) ja etsi DNSSEC-osio. Liitä DS-arvot, jotka Cloudflare antoi sinulle.
Odota 24–48 tuntia täyttä leviämistä. Sivustosi ja sähköpostisi jatkavat toimimistaan koko ajan.

Muut DNS-toimittajat (AWS Route 53, webhostisi jne.):

DNS-toimittajasi hallintapaneelissa, ota DNSSEC käyttöön / “allekirjoita tämä vyöhyke”. Tämä luo allekirjoitusavaimet ja julkaisee DNSKEY-tietueet.
Kopioi toimittajan tuottama DS-tietue.
Lisää tuo DS-tietue rekisteröijälläsi sen DNSSEC-asetuksissa.
Vahvista, että rekisteröijä hyväksyi sen ja odota leviämistä.

Alustamuistiot:

Cloudflare – yhdellä klikkauksella käyttöönotto, sitten yhden DS:n liittäminen rekisteröijällä. Ylivoimaisesti helpoin reitti.
AWS Route 53 – ota DNSSEC-allekirjoitus käyttöön isännöidyssä vyöhykkeessä, sitten lisää DS-tietue verkkotunnuksesi rekisteröijällä (jos verkkotunnus on rekisteröity Route 53:lla, AWS voi linkittää sen puolestasi).
Microsoft 365 / Google Workspace – nämä pyörittävät sähköpostiasi, ei yleensä DNS-vyöhykettäsi. DNSSEC on käytössä siellä, missä DNS-tietueesi todella asuvat (usein rekisteröijäsi, hostisi tai Cloudflare), ei 365:n tai Workspacen hallintakeskuksessa.
DNS-toimittajasi ei tue DNSSECiä lainkaan? Tämä on yleistä vanhempien tai budjetti-hostien kanssa. Siisti korjaus on siirtää DNS-hallinto toimittajalle, joka tukee (Cloudflare on ilmainen), sitten seurata yllä olevaa yksinkertaista polkua. DNS:n siirtäminen ei edellytä verkkosivustosi tai sähköpostisi siirtämistä.

Vahvista sen toimivan:

Suorita dig DS verkkotunnuksesi.fi ja dig DNSKEY verkkotunnuksesi.fi – molempien tulisi palauttaa tietueita.
Tai käytä mitä tahansa ilmaista online-DNSSEC-tarkistajaa ja vahvista vihreä/kelvollinen luottamusketju.
Älä pidä sitä valmiina ennen kuin molemmat palauttavat täsmäävät tietueet. DS ilman DNSKEYtä on rikkinäinen tila – korjaa tai poista se välittömästi.

Yleisimmät virheet

DS:n julkaiseminen ennen avaimen olemassaoloa. Yksittäinen tuhovoimaisin virhe: DS-tietueen lisääminen rekisteröijällä ennen kuin allekirjoitus on todella käytössä DNS-toimittajalla. Tämä luo “julkaistu sinetti, puuttuva avain” -tilan, joka tekee verkkotunnuksesi ratkaisemattomaksi DNSSEC:iä tarkistavilla kävijöillä. Ota allekirjoitus aina ensin käyttöön, sitten julkaise DS.
Vanhentuneen DS:n jättäminen jälkeen toimittajaa vaihdettuaan. Jos siirrät DNS-toimittajia (tai poistat allekirjoituksen käytöstä), mutta unohdat poistaa tai päivittää vanhan DS-tietueen rekisteröijällä, jäät osoittamaan avaimeen, jota enää ei ole – sama rikkinäinen tulos. Kun kytket DNSSECin pois päältä tai siirrät sen, päivitä DS rekisteröijällä samassa muutoksessa.
Pysähtyminen ensimmäiseen vaiheeseen. Allekirjoituksen ottaminen käyttöön DNS-toimittajalla (DNSKEYn luominen), mutta DS:n lisäämättä jättäminen rekisteröijällä. Kaikki näyttää “päällä” DNS-kojelaudassa, mutta ilman DS:ää suojaus ei koskaan aktivoidu. Teit työn eikä saanut mitään hyötyä.
Olettaminen, että HTTPS tai sähköpostin todennus jo kattaa sen. Lukko ja sähköpostin todennus (SPF / DKIM / DMARC) ovat arvokkaita, mutta ratkaisevat eri ongelmia. Mikään niistä ei estä väärenneltyä DNS-vastausta lähettämästä kävijöitä väärään paikkaan alun alkaen.
Ei seurantaa käyttöönoton jälkeen. Avaimia kierrätetään, toimittajat vaihtuvat, tietueita muokataan. Tänään täydellinen asetus voi hiljaa rikkoutua kuukausien kuluttua. Jos DNSSEC on tarpeeksi tärkeä käyttöön ottamiseen, se on omaava säännöllisen tarkistuksen, että se on edelleen kelvollinen.

Sijoittuminen arvosanassasi

Molemmat nämä tarkistukset lasketaan DNS-tietoturva-pisteeseesi. DS-tietue -tarkistus käsitellään kahtena korkeampana prioriteettina: puuttuva DS on todellinen aukko ja se pisteytyy epäonnistumisena. DNSKEY-tarkistus vahvistaa ketjun muun osan olevan ehjä – se läpäisee vain kun täsmäävä DS ja DNSKEY ovat molemmat läsnä, ja se merkitsee vaarallisen “DS-ilman-avain” rikkinäisen tilan korkean vakavuuden luokkana. Puhdas “DNSSEC ei yksinkertaisesti ole käytössä vielä” -tulos on yleinen lähtökohta monille yrityksille; siirtyminen sieltä täydelliseen, täsmäävään DS + DNSKEY -pariin on ilmainen, hyvin ymmärretty päivitys.

Asenna palveluntarjoajallasi

Vaiheittainen ohje suosituille palveluntarjoajille:

UKK

En ole tekninen – onko minun käsiteltävä tämä henkilökohtaisesti?

Ei. Sinun täytyy ymmärtää miksi sillä on merkitystä (tämä sivu kattaa sen), mutta todellinen muutos on verkkotunnuksesi DNS:ssä ja rekisteröijän asetuksissa, joten se kuuluu sille, joka hallinnoi verkkotunnustasi tai verkkosivustoasi. Anna heille alla oleva 'Korjausohje' – se on ilmainen ja vie yleensä alle puoli tuntia. Veloitamme vain jos myöhemmin haluat meidän valvovan, että se pysyy oikein kytkettynä päälle.

Jos sivustollani on jo lukko (HTTPS), enkö ole jo suojattu?

Ne suojaavat eri asioita. Lukko turvaa yhteyden, kun kävijä on tavoittanut oikean palvelimen. DNSSEC suojaa sitä vaihetta ennen sitä – varmistaen, että he tavoittavat oikean palvelimen alun perin. Hyökkääjä, joka väärentää DNS:äsi, voi lähettää kävijät omalle palvelimelleen, jolla voi olla oma kelvollinen lukko klooni-verkkotunnuksessa tai jopa kopiossasi. Tarvitset molemmat; yksi ei korvaa toista.

Voiko DNSSECin käyttöönotto rikkoa verkkosivustoni tai sähköpostini?

Oikein tehty yhdessä paikassa toimittajan toimesta, joka tukee sitä, ei – modernit toimittajat hallinnoivat avaimia puolestasi ja se vain toimii. Riski tulee tekemisestä kahdessa erillisessä vaiheessa ja vain yhden viimeistelyn tekemisestä: julkaistaan julkinen 'sinetti' (DS-tietue) rekisteröijälläsi, kun vastaava avain (DNSKEY) puuttuu tai ei täsmää. Tuo rikkinäinen tila on pahempi kuin ei DNSSECiä ja aiheuttaa ajoittaisia käyttökatkoja. Alla olevat vaiheet pitävät kaksi puolta synkronisoituina jotta tätä ei tapahdu.

Isännöimme Cloudflaren / Google Workspacen / Microsoft 365:n kanssa – kattaako se sen?

Ei automaattisesti, mutta se tekee siitä helpon. Sillä, missä DNS:äsi hallinnoidaan, on merkitystä. Jos Cloudflare pyörittää DNS:äsi, se on yhdellä klikkauksella käyttöönotto ja yhden tietueen liittäminen rekisteröijälläsi. Microsoft 365 ja Google Workspace hoitavat sähköpostia, eivät yleensä DNS-vyöhykettäsi – DNSSEC on käytössä siellä, missä verkkotunnuksesi DNS-tietueet todella asuvat (usein Cloudflare, rekisteröijäsi tai hostisi). Alla olevat vaiheet kattavat yleiset tapaukset.

Mitä 'DS' ja 'DNSKEY' tarkalleen ovat – ja miksi tämä sivu mainitsee molemmat?

Ne ovat yhden lukon kaksi puoliskoa. DNSKEY on avain, jota DNS-toimittajasi pitää ja käyttää tietujesi allekirjoittamiseen. DS on sormenjälki siitä avaimesta, julkaistu tasoa *ylöspäin* rekisteröijälläsi, jotta muu internet voi vahvistaa avaimen olevan todella sinun. Molempien täytyy olla läsnä ja täsmätä. Tarkistamme molemmat: puuttuva DS tarkoittaa, että DNSSEC ei ole käytössä; DS ilman täsmäävää DNSKEYtä tarkoittaa, että se on käytössä mutta rikki.

Kuinka kauan sen toimintaantulo kestää ja miten vahvistan sen?

Salli 24–48 tuntia muutoksen täydelle leviämiselle internetissä; olemassa oleva sivustosi ja sähköpostisi jatkavat toimimistaan koko ajan, jos se tehdään oikein. Vahvistaaksesi, IT-henkilösi voi suorittaa 'dig DS verkkotunnuksesi' ja 'dig DNSKEY verkkotunnuksesi' ja nähdä molemmilta palautettavia tietueita, tai käyttää mitä tahansa ilmaista online-DNSSEC-tarkistajaa.