Defaults.Exposed › Ispravci › DNSSEC
Kako popraviti DNSSEC
DNSSEC je digitalni pečat na adresaru vaše domene. Internetski omogućuje dokazivanje da je odgovor na pitanje 'gdje ova domena živi?' zaista došao od vas i nije bio izmijenjen na putu. Bez njega, odgovor može biti krivotvoren — i vaši posjetitelja tiho poslani negdje drugdje.
Zaključak za vaše poslovanje: Bez DNSSEC-a, napadač koji može trovati DNS odgovor može vaše klijente usmjeriti na savršenu kopiju vaše stranice dok njihov preglednik i dalje prikazuje vaše pravo ime domene. Prijave, brojevi kartica i osobni podaci bivaju prikupljeni, a vi saznate tek od povratnih naplata i pritužbi. Napola-završena DNSSEC konfiguracija je još gora: može vašu stranicu učiniti nedostupnom za sve veći dio posjetitelja bez ikakve greške koju biste ikad primijetili.
Što vas ovo može koštati
- Posjetitelja koji tipkaju vašu pravu domenu bivaju tiho preusmjereni na kopiju koja bilježi njihove lozinke i podatke kartice — i jer adresna traka prikazuje vašu domenu cijelo vrijeme, nitko ništa ne sumnja dok ne stignu izvještaji o prijevari.
- Vaša e-pošta bude tiho preusmjerena: napadač krivotvori odgovor za vaše mail servere, čita ili presreće poruke i resetira lozinke na računima koji vam šalju kod e-poštom — sve bez dodirivanja vašeg sandučića.
- Napola-konfiguriran DNSSEC (javni pečat postoji ali odgovarajući ključ nedostaje) čini vašu web stranicu i e-poštu nasumičnim kvarom za klijente na velikim ISP-ovima i korporativnim mrežama — povremeni 'vaša stranica je nedostupna za mene' izvještaji koje ne možete reproducirati.
- Sigurnosni tim potencijalnog partnera provede provjeru pred-ugovornu, vidi nema DNSSEC-a i ocjeni vas nisko u osnovama — dovodeći dogovor u rizik zbog besplatne postavke.
- Javni sektor i veći B2B kupci sve više očekuju DNSSEC kao osnovu (imenovan je u propisima poput NIS2); njegova odsutnost vas tiho diskvalificira s natječaja prije nego razgovor i počne.
Zašto je to važno. DNS je internetski adresar i po zadanom njegovi odgovori putuju nepotpisani — tko god može ubaciti krivotvoreni odgovor može vaše klijente i vašu e-poštu slati kamo god želi, s vašom pravom domenom još uvijek prikazanom u pregleniku. DNSSEC stavlja pečat zaštićen od nedozvoljenih promjena na te odgovore da se mogu verificirati kao genuinno vaši. Popravak je besplatan kod većine pružatelja; jedini pravi trošak je napraviti ga pogrešno, što je razlog zašto pažljivo prolazimo kroz obje polovice.
DNSSEC, jednostavnim riječima
Svaki put kad netko posjeti vašu web stranicu ili vam pošalje e-poštu, njegovo računalo prvo postavlja internetu jednostavno pitanje: “gdje ova domena zapravo živi?” Odgovor — skup adresa za vašu stranicu i vaše mail servere — dolazi natrag iz DNS-a, internetskog adresara.
Evo neugodnog dijela: po zadanom, ti odgovori putuju nepotpisani. Nema ničega priloženog da dokaže da je odgovor autentičan. Ako netko može ubaciti krivotvoreni odgovor u taj razgovor — a postoje dobro poznate, dokazane metode za to — računalo vašeg posjetitelja će ga rado prihvatiti. Od tog trenutka, posjetitelja može razgovarati s napadačevim serverom dok im preglednik i dalje prikazuje vašu domenu u adresnoj traci.
DNSSEC je popravak. Dodaje pečat zaštićen od nedozvoljenih promjena na vaše DNS odgovore. Kad je DNSSEC uključen, internet može matematički verificirati da je odgovor zaista došao od vas i nije bio promijenjen na putu. Krivotvoreni odgovor ne prolazi provjeru i biva odbačen. To je razlika između adresara u koji bilo tko može pisati i onoga gdje je svaki unos potpisan i posvjedočen.
Ova stranica pokriva dva dijela na koja naša provjera gleda zajedno: je li pečat objavljen (DS zapis) i postoji li odgovarajući ključ iza njega (DNSKEY zapis). Uskoro ćete vidjeti zašto su oba važna — jer imati jedno bez drugog je posebna vrsta nevolje.
Što vas ovo može koštati
To su realni, agregatni uzorci — ne bilo koje jedno imenovano poduzeće.
- Nevidljivo preusmjeravanje. Napadač truje DNS odgovor za vašu domenu. Klijenti tipkaju vašu pravu web adresu, vide vašu pravu domenu u traci i sletnu na savršenu kopiju vaše prijave ili naplatne stranice hostirane od napadača. Svaka lozinka i broj kartice koji unesu idu izravno kriminalcu. Vi za to čujete tek kad počnu povratne naplate i pozivi “bio sam hakiran kroz vašu stranicu” — i trag vodi natrag na vaš brend, ne napadačev.
- Tiho presretanje e-pošte. DNS ne pokazuje samo na vašu web stranicu; pokazuje i na vaše mail servere. Krivotvorite taj odgovor i dolazna e-pošta može biti preusmjerena kroz napadača prvo. Čitaju osjetljive poruke, prikupljaju jednokratne kodove koje usluge šalju e-poštom da “verificiraju da ste vi”, i resetiraju lozinke na računima vezanim uz vašu domenu — sve bez ikad ulaženja u vaš sandučić.
- Ispad koji ne možete reproducirati. Ovaj dolazi od napola-završene DNSSEC konfiguracije. Javni pečat (DS) sjedi kod vašeg registrara, ali odgovarajući ključ (DNSKEY) nedostaje ili je pogrešan. Posjetitelja na ISP-ovima i korporativnim mrežama koji provjeravaju DNSSEC — a svake je godine ih više — jednostavno ne mogu razriješiti vašu domenu uopće. Vaša stranica i e-pošta rade fino za vas i vašu tehnologiju, ali dio pravih klijenata dobiva “ova stranica ne može biti dosegnuta” bez greške koju možete vidjeti. Jedan je od najtežih problema za dijagnosticirati upravo zato jer je nevidljiv iznutra.
- Izgubljeni dogovor. Sigurnosni ili nabavni tim potencijalnog partnera provede rutinsko predugovoreno skeniranje vaše domene. Nema DNSSEC-a pojavljuje se kao crvena oznaka na “osnovi DNS sigurnosti”. Za besplatnu, dobro razumljenu kontrolu, njezina odsutnost čita se kao nemar — i može vas tiho koštati ugovora za koji nikad niste znali da je u opasnosti.
- Natječaj za koji se ne kvalificirate. Propisi i kontrolni popisi kupaca sve više imenuju DNSSEC kao očekivanu osnovnu higijenu (naveden je u NIS2 DNS-sigurnosnim odredbama). Veći B2B i javni-sektor kupci mogu vas filtrirati prije nego prodajni razgovor i počne, jednostavno jer polje nije označeno.
Što je to zapravo
DNSSEC radi kao lanac povjerenja i ima dva pokretna dijela koji moraju biti međusobno usklađeni. Ovo je srž zašto naša provjera gleda na dvije stvari.
DNSKEY — vaš ključ. Vaš DNS pružatelj drži kriptografski ključ i koristi ga za potpisivanje vaših DNS zapisa. Javna polovica tog ključa objavljena je kao DNSKEY zapis. Zamislite to kao pečatni žig koji čuvate s vaše strane.
DS zapis — otisak prsta koji jamči za ključ. Kratki otisak prsta tog ključa, zvan DS (Delegation Signer) zapis, objavljen je jednu razinu više — kod registra vaše domene, putem vašeg registrara. To je ono što ostatku interneta dopušta vjerovati vašem ključu: svaka razina jamči za onu ispod nje, sve gore do internetskog korijena. DS je pečat koji je službeno registriran da ga svi ostali mogu prepoznati.
Da bi vas DNSSEC zapravo štitio, oboje mora biti prisutno i mora se podudarati:
- DS prisutan + DNSKEY prisutan i odgovarajući → dobro. Lanac povjerenja je cjelovit. Krivotvoreni odgovori bivaju odbijeni; legitimni se verificiraju. Ovo je stanje “prolaz”.
- Nema DS (i nema DNSKEY) → DNSSEC jednostavno nije uključen. Nemate zaštitu, ali ništa nije slomljeno. Ovo je najčešće stanje “još nije napravljeno”. (U našem bodovanju tu DS provjera broji protiv vas; kombinirana-ključ provjera tretira čisto, potpuno “isključeno” stanje kao informativno umjesto tvrdog neuspjeha, jer ništa aktivno ne lomi.)
- DS prisutan, ali DNSKEY nedostaje ili ne odgovara → slomljeno, i gore nego isključeno. Internet vidi objavljen pečat koji pokazuje na ključ koji nije tamo. Razrješivači koji validiraju zaključuju da je vaša domena bila izmijenjena i odbijaju je razriješiti — uzrokujući povremene ispade opisane gore. Ovo je najhitnije stanje za popraviti, i naša provjera ga označava kao visoke ozbiljnosti.
- DNSKEY prisutan, ali nema DS kod registrara → uključeno ali ne aktivirano. Vaši zapisi su potpisani, ali jer otisak prsta nikad nije registriran jednu razinu više, ostatak interneta nema načina im vjerovati. Dobivate posao bez zaštite. Popravak je dodati DS zapis kod vašeg registrara.
Kako izgleda ‘dobro’, u jednoj rečenici: DS zapis kod vašeg registrara čiji otisak prsta odgovara živom DNSKEY-u kod vašeg DNS pružatelja, oba potvrđena brzim pretraživanjem.
Kako to popraviti (besplatno, ~10–30 minuta)
Proslijedite ovaj odjeljak onome tko upravlja vašom domenom ili web stranicom. Sam popravak je besplatan kod većine pružatelja — jedini je trošak napraviti ga pažljivo da obje polovice ostanu sinkronizirane. Naplaćujemo samo ako kasnije želite da pratimo da ostane ispravno omogućeno.
Zlatno pravilo: najprije aktivirajte potpisivanje (što stvara DNSKEY), zatim objavite DS zapis kod registrara — nikad obratnim redom i nikad jedno bez drugog. Objavljivanje DS-a prije nego ključ postoji je točno ono što uzrokuje ispade.
Jednostavan put (preporučeno — Cloudflare):
- U Cloudflare-u provjerite da Cloudflare zapravo vodi vaš DNS (vaši nameserveri pokazuju na Cloudflare).
- Idite na DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare generira i upravlja ključevima za vas (ovo automatski stvara DNSKEY stranu).
- Cloudflare vam prikazuje detalje DS zapisa za objavljivanje kod vašeg registrara.
- Prijavite se vašem registraru domene (npr. GoDaddy, Namecheap, OVH) i pronađite odjeljak DNSSEC. Zalijepite DS vrijednosti koje vam je dao Cloudflare.
- Pričekajte 24–48 sati za potpuno širenje. Vaša stranica i e-pošta nastavljaju raditi kroz to.
Drugi DNS pružatelji (AWS Route 53, vaš web host, itd.):
- U kontrolnoj ploči vašeg DNS pružatelja, aktivirajte DNSSEC / “potpiši ovu zonu”. Ovo generira potpisivačke ključeve i objavljuje DNSKEY zapise.
- Kopirajte DS zapis koji pružatelj producira.
- Dodajte taj DS zapis kod vašeg registrara pod DNSSEC postavkama.
- Potvrdite da ga je registrar prihvatio i pričekajte širenje.
Napomene o platformama:
- Cloudflare — jedno klikovanje uključivanja, zatim jedno DS lijepljenje kod registrara. Daleko najlakši put.
- AWS Route 53 — aktivirajte DNSSEC potpisivanje na hostiranoj zoni, zatim dodajte DS zapis kod registrara vaše domene (ako je domena registrirana s Route 53, AWS to može za vas povezati).
- Microsoft 365 / Google Workspace — ovi vode vašu e-poštu, obično ne vašu DNS zonu. DNSSEC se aktivira tamo gdje zapravo žive vaši DNS zapisi (često vaš registrar, host ili Cloudflare), ne u 365/Workspace admin centru.
- Vaš DNS pružatelj uopće ne podržava DNSSEC? To je uobičajeno s starijim ili jeftinim hostovima. Čisti popravak je premjestiti DNS upravljanje na pružatelja koji podržava (Cloudflare je besplatan), zatim slijediti jednostavan put gore. Premještanje DNS-a ne zahtijeva premještanje vaše web stranice ili e-pošte.
Verificirajte da je proradilo:
- Pokrenite
dig DS vasadomena.comidig DNSKEY vasadomena.com— oba trebaju vratiti zapise. - Ili koristite bilo koji besplatni online DNSSEC provjerer i potvrdite zeleni/valjani lanac povjerenja.
- Ne smatrajte to gotovim dok oba ne vrate odgovarajuće zapise. DS bez DNSKEY-a je slomljeno stanje — odmah popravite ili uklonite.
Česte greške
- Objavljivanje DS-a prije nego ključ postoji. Jedina najštetna greška: dodavanje DS zapisa kod registrara prije nego je potpisivanje zapravo živo kod DNS pružatelja. Ovo stvara stanje “objavljen pečat, nedostajući ključ” koje čini vašu domenu nerazrješivom za DNSSEC-provjeravajuće posjetitelje. Uvijek najprije aktivirajte potpisivanje, zatim objavite DS.
- Ostavljanje starog DS-a za sobom nakon promjene pružatelja. Ako migrirate DNS pružatelje (ili onemogućite potpisivanje) ali zaboravite ukloniti ili ažurirati stari DS zapis kod registrara, ostajete pokazujući na ključ koji više ne postoji — isti slomljeni ishod. Kad isključite DNSSEC ili ga premjestite, ažurirajte DS kod registrara u istoj promjeni.
- Zaustavljanje nakon prvog koraka. Aktiviranje potpisivanja kod DNS pružatelja (stvaranje DNSKEY-a) ali nikad dodavanje DS-a kod registrara. Sve izgleda “uključeno” u DNS nadzornoj ploči, ali bez DS-a zaštita se nikad ne aktivira. Napravili ste posao i niste dobili nikakvu korist.
- Pretpostavljanje da HTTPS ili provjera autentičnosti e-pošte već to pokriva. Lokot i autentifikacija e-pošte (SPF / DKIM / DMARC) su vrijedni ali rješavaju različite probleme. Nijedan ne sprječava krivotvoreni DNS odgovor od slanja posjetitelja na pogrešno mjesto za početak.
- Ne praćenje nakon aktiviranja. Ključevi se obnavljaju, pružatelji se mijenjaju, zapisi se uređuju. Konfiguracija koja je savršena danas može tiho pući mjesecima kasnije. Ako je DNSSEC dovoljno važan za aktivirati, vrijedi povremene provjere da je i dalje valjan.
Gdje ovo sjedi u vašoj ocjeni
Obje ove provjere ulaze u vaš DNS Security rezultat. Provjera DS zapisa tretira se kao prioritetnija od dviju: nedostajući DS je prava praznina i boduje se kao neuspjeh. Provjera DNSKEY-a potvrđuje da je ostatak lanca cjelovit — prolazi samo kad su odgovarajući DS i DNSKEY oboje prisutni, i označava opasno “DS-bez-ključa” slomljeno stanje kao visoke ozbiljnosti. Čist rezultat “DNSSEC jednostavno još nije aktiviran” je uobičajena polazna točka za mnoga poduzeća; prelazak od tamo na kompletni, odgovarajući DS + DNSKEY par je besplatna, dobro razumljiva nadogradnja koja poboljšava vaš DNS Security status i uklanja pravi put za lažno predstavljanje i presretanje.
Postavite kod svog pružatelja hostinga
Korak po korak za popularne pružatelje:
- Postavite DNSSEC na GoDaddy
- Postavite DNSSEC na Namecheap
- Postavite DNSSEC na Cloudflare
- Postavite DNSSEC na AWS Route 53
Česta pitanja
Nisam tehničar — moram li se osobno time baviti?
Ne. Trebate razumjeti zašto je važno (ova stranica to pokriva), ali sama promjena živi u DNS-u vaše domene i postavkama registrara, pa pripada onome tko upravlja vašom domenom ili web stranicom. Proslijedite im odjeljak 'Kako to popraviti' — besplatno je i obično traje manje od pola sata. Naplaćujemo samo ako kasnije želite da pratimo da ostane ispravno uključeno.
Ako moja stranica već ima lokot (HTTPS), nisam li već zaštićen?
Štite različite stvari. Lokot osigurava vezu kad posjetitelja dosegne pravi server. DNSSEC štiti korak prije toga — osiguravajući da uopće dođu do pravog servera. Napadač koji krivotvori vaš DNS može posjetitelje slati na vlastiti server, koji može imati vlastiti valjani lokot na kopiji vaše domene ili čak na kopiji vaše stranice. Trebate oboje; jedno ne zamjenjuje drugo.
Može li uključivanje DNSSEC-a pokvariti moju web stranicu ili e-poštu?
Napravljeno na jednom mjestu od strane pružatelja koji ga podržava, ne — moderni pružatelji rukuju ključevima za vas i to jednostavno radi. Rizik dolazi od napraviti to u dva nepovezana koraka i završiti samo jedan: objaviti javni 'pečat' (DS zapis) kod vašeg registrara dok odgovarajući ključ (DNSKEY) nedostaje ili ne odgovara. To slomljeno stanje je gore od nikakva DNSSEC-a i uzrokuje povremene ispade. Koraci ispod drže obje polovice sinkroniziranim da se to ne dogodi.
Hostiramo s Cloudflare / Google Workspace / Microsoft 365 — pokriva li to?
Ne automatski, ali to ga čini lakim. Ono što je važno je gdje se upravljava vašim DNS-om. Ako Cloudflare vodi vaš DNS, to je jedno klikovanje uključivanja plus lijepljenje jednog zapisa kod vašeg registrara. Microsoft 365 i Google Workspace rukuju e-poštom, obično ne vašom DNS zonom — DNSSEC se aktivira tamo gdje zapravo žive DNS zapisi vaše domene (često Cloudflare, vaš registrar ili vaš host). Koraci ispod pokrivaju uobičajene slučajeve.
Što su točno 'DS' i 'DNSKEY' — i zašto ova stranica spominje oba?
To su dvije polovice jedne brave. DNSKEY je ključ koji vaš DNS pružatelj drži i koristi za potpisivanje vaših zapisa. DS je otisak prsta tog ključa, objavljen jednu razinu više kod vašeg registrara da bi ostatak interneta mogao potvrditi da je ključ zaista vaš. Oboje mora biti prisutno i mora se podudarati. Provjeravamo oboje: nedostajući DS znači da DNSSEC nije uključen; DS bez odgovarajućeg DNSKEY znači da je uključen ali slomljen.
Koliko traje dok profunkcionira i kako to potvrdim?
Dopustite 24–48 sati da se promjena potpuno proširi internetom; vaša postojeća stranica i e-pošta nastavljaju raditi kroz to ako je ispravno napravljeno. Za potvrdu, vaša IT osoba može pokrenuti 'dig DS vasadomena' i 'dig DNSKEY vasadomena' i vidjeti zapise vratiće za oboje, ili koristite bilo koji besplatni online DNSSEC provjerer. Možemo ga i kontinuirano pratiti da budući kvar bude uhvaćen dan kad se dogodi, ne kad klijent požali.