Defaults.Exposed › Javítások › DNSSEC

Hogyan javítsd ki: DNSSEC

A DNSSEC egy digitális pecsét a domain cím-könyvén. Lehetővé teszi az internet számára, hogy bebizonyítsa, hogy a 'hol él ez a domain?' kérdésre adott válasz valóban tőled jött, és nem volt manipulálva az úton. Nélküle a válasz meghamisítható – és a látogatóid csendesen valahova máshova küldhetők.

Az üzleted szempontjából lényeg: DNSSEC nélkül egy olyan támadó, aki megmérgezheti a DNS-választ, a saját oldalad tökéletes másolatához mutathatja az ügyfeleidet, miközben a böngészőjük még mindig a valódi domainnevedet mutatja. A bejelentkezések, kártyaszámok és személyes adatok begyűjtésre kerülnek, és csak a visszaterhelések és panaszok alapján értesülsz erről. Egy hibásan félig-kész DNSSEC-beállítás még rosszabb: véletlenszerűen elérhetetlenné teheti az oldaladat az egyre több látogató számára, anélkül, hogy bármilyen hibát észrevennél.

Mibe kerülhet ez neked

• A valódi domaineddel érkező látogatók csendesen egy hasonmáshoz vannak átirányítva, amely lehalássza a jelszavukat és kártyaadataikat – és mivel a cím sávban végig a te domainedet mutatja, senki nem gyanakszik semmire, amíg a csalási bejelentések megérkeznek.
• Az e-mailedet csendesen átirányítják: a támadó meghamisítja a levelezőszervereid válaszát, olvassa vagy elfogja az üzeneteket, és jelszavakat állít vissza olyan fiókokban, amelyek kódot küldenek e-mailben – mindezt az e-mail-fiókod érintése nélkül.
• Egy félig konfigurált DNSSEC-beállítás (a nyilvános pecsét létezik, de a hozzá illő kulcs hiányzik) véletlenszerűen hibát okoz a weboldaladon és az e-mailedn a nagy internet-szolgáltatókon és céges hálózatokon lévő ügyfelek számára – időszakos 'az oldaladon van velem' jelentések, amelyeket nem tudsz reprodukálni.
• Egy lehetséges ügyfél biztonsági csapata szerződés előtti ellenőrzést futtat, nem lát DNSSEC-t, és alapokat illetően gyengének minősít – kockáztatva egy üzletet egy ingyenes beállítás miatt.
• Állami és nagyobb B2B-vevők egyre inkább alapszintű elvárásként tartják számon a DNSSEC-t (a NIS2-hez hasonló szabályozások megnevezik); hiánya csendesen kizárhat téged a pályázatokból, mielőtt egyáltalán megkezdődnek a tárgyalások.

Miért fontos. A DNS az internet cím-könyve, és alapból az ott lévő válaszok aláíratlanul utaznak – aki meghamisított választ csúsztathat be, az ügyfeleidet és az e-mailedet bárhová küldheti, miközben a valódi domained még mindig látszik a böngészőben. A DNSSEC egy hamisításbiztos pecsétet helyez ezekre a válaszokra, hogy matematikailag igazolhatóan tőled jöttek. A javítás ingyenes a legtöbb szolgáltatónál; az egyetlen valódi költség a hibás elvégzés, ezért mindkét részt gondosan tárgyaljuk.

A DNSSEC egyszerű szavakkal

Minden alkalommal, amikor valaki meglátogatja a weboldaladat vagy e-mailt küld neked, a számítógépük először egy egyszerű kérdést tesz fel az internetnek: “hol él ténylegesen ez a domain?” A válasz – a weboldaladat és a levelezőszervereidet jelölő cím-készlet – a DNS-ből érkezik vissza, az internet cím-könyvéből.

Íme a kényelmetlen rész: alapból ezek a válaszok aláíratlanul utaznak. Nincs csatolva semmi, ami bizonyítaná a válasz valódiságát. Ha valaki meghamisított választ csúsztathat be ebbe a párbeszédbe – és erre léteznek jól ismert, bevált módszerek –, a látogató számítógépe boldogan elfogadja. Ettől a pillanattól kezdve a látogató egy támadó szerverével lehet kapcsolatban, miközben a böngészőjük a te domainevedet mutatja a cím sávban.

A DNSSEC a javítás. Hamisításbiztos digitális pecsétet ad a DNS-válaszaidhoz. Ha a DNSSEC be van kapcsolva, az internet matematikailag igazolhatja, hogy egy válasz valóban tőled jött, és nem változtatták meg az úton. Egy meghamisított válasz nem állja ki az ellenőrzést, és el lesz dobva. Ez a különbség egy cím-könyv között, amelybe bárki beleírhat, és egy olyan között, amelyben minden bejegyzés aláírt és tanúsított.

Ez az oldal a két részt fedi, amelyeket az ellenőrzésünk együttesen vizsgál: hogy a pecsét közzé van-e téve (a DS rekord) és hogy a mögöttes hozzá illő kulcs valóban létezik-e (a DNSKEY rekord). Hamarosan látni fogod, miért számít mindkettő – mert az egyiknek a másik nélkül való megléte saját magában is bajok forrása.

Mibe kerülhet ez neked

Ezek reális, összesített minták – nem valamely megnevezett vállalkozás.

• A láthatatlan átirányítás. Egy támadó megmérgezi a domain DNS-válaszát. Az ügyfelek beírják a valódi webcímedet, látják a valódi domainedet a cím sávban, és egy tökéletes másolaton landolnak a bejelentkezési vagy pénztári oldalad támadó által hosztolt változatán. Minden jelszó és kártyaszám, amit beírnak, egyenesen a bűnözőhöz megy. Akkor hallasz erről, amikor a visszaterhelések és az “átvertek az oldaladon” hívások megkezdődnek – és a nyom a te márkádhoz vezet, nem a támadóéhoz.
• Csendes e-mail-lehallgatás. A DNS nem csak a weboldaladat mutatja; a levelezőszervereidet is. Hamisítsd meg ezt a választ, és a beérkező e-mail egy támadón keresztül irányítható át. Olvassák az érzékeny üzeneteket, begyűjtik az egyszeri kódokat, amelyeket a szolgáltatások e-mailben küldenek az “ellenőrizd, hogy valóban te vagy” ellenőrzéshez, és jelszavakat állítanak vissza a domainedhez kötött fiókokban – anélkül, hogy valaha belépnének a postafiókodba.
• A leállás, amelyet nem tudsz reprodukálni. Ez egy félig kész DNSSEC-beállításból ered. A nyilvános pecsét (DS) ott van a registrar-nál, de a hozzá illő kulcs (DNSKEY) hiányzik vagy helytelen. Az internet-szolgáltatókon és céges hálózatokon lévő látogatók, amelyek ellenőrzik a DNSSEC-t – és évről évre egyre több van –, egyszerűen nem tudják feloldani a domainedet. Az oldalad és az e-mailednek jól működnek nálad és a technikusodnál, de a valódi ügyfelek egy szelete “ezt az oldalt nem lehet elérni” üzenetet kap, anélkül, hogy te bármilyen hibát látnál. Ez az egyik legnehezebben diagnosztizálható probléma, pontosan azért, mert belülről láthatatlan.
• Az elveszített üzlet. Egy lehetséges ügyfél biztonsági vagy beszerzési csapata rutinszerű, szerződés előtti vizsgálatot futtat a domaineden. Nincs DNSSEC jelenik meg piros megjelölésként a “DNS biztonsági alapok” témakörben. Egy ingyenes, jól értett vezérlőhöz képest a hiánya gondatlanságnak olvasható – és csendesen kerülhet többe egy szerződést, amelyről nem is tudtad, hogy veszélybe volt.
• A pályázat, amelyre nem is kvalifikálsz. A szabályzatok és a vevői ellenőrzőlisták egyre inkább alapszintű higiéniaként nevezik meg a DNSSEC-t (a NIS2 DNS-biztonsági rendelkezései hivatkoznak rá). A nagyobb B2B és közszektorbeli vevők szűrhetik ki magukat értékesítési párbeszéd előtt, egyszerűen mert a jelölőnégyzet nincs kipipálva.

Mi ez pontosan

A DNSSEC bizalmi láncolatként működik, és két mozgó részből áll, amelyeknek egyezniük kell egymással. Ez a szíve annak, hogy az ellenőrzésünk miért vizsgál két dolgot.

A DNSKEY – a kulcsod. A DNS-szolgáltatód kriptográfiai kulcsot tart, és ez aláírja a DNS-rekordjaidat. A kulcs nyilvános fele DNSKEY rekordként van közzétéve. Gondolj rá mint a nálad tárolt pecsét-bélyegzőre.

A DS rekord – a kulcsot igazoló ujjlenyomat. A kulcs rövid ujjlenyomata, amelyet DS (Delegation Signer) rekordnak hívnak, egy szinttel feljebb van közzétéve – a domain regisztrációs adatbázisánál, a registrar-on keresztül. Ez az, ami lehetővé teszi az internet többi részének, hogy megbízzon a kulcsodban: minden szint igazolja az alatta lévőt, egészen az internet gyökeréig felfelé. A DS az a pecsét, amely hivatalosan regisztrálva van, hogy mindenki más felismerje.

Ahhoz, hogy a DNSSEC valóban megvédjen téged, mindkettőnek jelen kell lennie, és egyezniük kell:

• DS jelen + DNSKEY jelen és egyező → jó. A bizalmi lánc teljes. A hamisított válaszok el lesznek utasítva; a legitimek igazolhatók. Ez az ‘átment’ állapot.
• Nincs DS (és nincs DNSKEY) → a DNSSEC egyszerűen nincs bekapcsolva. Nincs védelem, de semmi sincs eltörve. Ez a leggyakoribb ‘még nem kész’ állapot. (A pontozásunkban a DS ellenőrzés negatívan számít; a kombinált-kulcs ellenőrzés egy tiszta, teljesen ‘ki’ állapotot tájékoztatóként kezel, nem kemény hibaként, mert semmi sem aktívan tör.)
• DS jelen, de DNSKEY hiányzik vagy nem egyező → törött, és rosszabb, mint a ki. Az internet egy közzétett pecsétet lát, amely egy nem ott lévő kulcsra mutat. Az ellenőrző feloldók arra következtetnek, hogy a domainedet manipulálták, és megtagadják a feloldását – okozva a fent leírt időszakos leállásokat. Ez a legszorgalmasabban javítandó állapot, és az ellenőrzésünk magas súlyossággal jelöli.
• DNSKEY jelen, de nincs DS a registrar-nál → bekapcsolt, de nem aktivált. A rekordjaid alá van írva, de mivel az ujjlenyomat soha nem volt egy szinttel feljebb regisztrálva, az internet többi részének nincs módja megbízni bennük. Elvégzed a munkát, de nem kapod a védelmet. A javítás a DS rekord hozzáadása a registrar-nál.

Egysorosban mit jelent a „jó” beállítás: a registrar-nál lévő DS rekord, amelynek ujjlenyomata megegyezik a DNS-szolgáltatónál lévő élő DNSKEY-vel, mindkettő gyors kereséssel megerősítve.

Hogyan javítsd ki (ingyenes, ~10–30 perc)

Add ezt a részt annak, aki a domainedet vagy weboldaladat kezeli. Maga a javítás ingyenes a legtöbb szolgáltatónál – az egyetlen költség a gondos elvégzés, hogy a két fél szinkronban maradjon. Mi csak akkor számítunk fel díjat, ha később azt szeretnéd, hogy figyeljük, hogy helyesen bekapcsolva marad-e.

Az arany szabály: először engedélyezd az aláírást (ami létrehozza a DNSKEY-t), majd tedd közzé a DS rekordot a registrar-nál – soha ne fordítva, és soha ne az egyiket a másik nélkül. A DS közzététele a kulcs létezése előtt pontosan az, ami leállásokat okoz.

Az egyszerű út (ajánlott – Cloudflare):

1. A Cloudflare-ben győződj meg arról, hogy a Cloudflare ténylegesen futtatja a DNS-edet (a névszervereid a Cloudflare-re mutatnak).
2. Menj a DNS → Settings → DNSSEC → Enable DNSSEC részbe. A Cloudflare generálja és kezeli neked a kulcsokat (ez automatikusan létrehozza a DNSKEY oldalt).
3. A Cloudflare megmutatja neked a registrar-nál közzéteendő DS rekord részleteit.
4. Jelentkezz be a domain registrar-odba (pl. Blacknight, GoDaddy, Namecheap, OVH), és keresd meg a DNSSEC részt. Illeszd be a Cloudflare által adott DS értékeket.
5. Várj 24–48 órát a teljes terjedésre. Az oldalad és az e-mailed végig működnek.

Más DNS-szolgáltatók (AWS Route 53, webhosztod, stb.):

1. A DNS-szolgáltatód vezérlőpanelján engedélyezd a DNSSEC-t / “írd alá ezt a zónát.” Ez generálja az aláíró kulcsokat és közzéteszi a DNSKEY rekordokat.
2. Másold a szolgáltató által produkált DS rekordot.
3. Add hozzá ezt a DS rekordot a registrar-odnál a DNSSEC-beállításai alatt.
4. Erősítsd meg, hogy a registrar elfogadta, és várj a terjedésre.

Platform megjegyzések:

• Cloudflare – egykattintásos engedélyezés, majd egy DS beillesztés a registrar-nál. Messze a legkönnyebb út.
• AWS Route 53 – engedélyezd a DNSSEC-aláírást a hosztolt zónán, majd add a DS rekordot a domain registrar-ánál (ha a domain a Route 53-nál van regisztrálva, az AWS elintézheti neked a linkelést).
• Microsoft 365 / Google Workspace – ezek az e-mailedet futtatják, nem általában a DNS-zónádat. A DNSSEC ott van engedélyezve, ahol a DNS-rekordok ténylegesen élnek (sokszor a registrar-od, hosted vagy Cloudflare), nem a 365/Workspace adminisztrációs központban.
• A DNS-szolgáltatód nem támogatja a DNSSEC-t? Ez közös a régebbi vagy olcsóbb hosztoknál. A tiszta javítás a DNS-kezelés áthelyezése egy olyan szolgáltatóhoz, amely támogatja (a Cloudflare ingyenes), majd a fenti egyszerű út követése. A DNS áthelyezése nem igényli a webhely vagy e-mail áthelyezését.

Ellenőrizd, hogy működik:

• Futtasd a dig DS sajatdomain.com és a dig DNSKEY sajatdomain.com parancsokat – mindkettőnél rekordokat kell visszakapni.
• Vagy használj bármilyen ingyenes online DNSSEC-ellenőrzőt, és erősítsd meg a zöld/érvényes bizalmi láncat.
• Ne tekintsd kész-nek, amíg mindkettő egyező rekordokat nem ad vissza. Egy DS DNSKEY nélkül a törött állapot – azonnal javítsd vagy távolítsd el.

Általános hibák

• A DS közzététele a kulcs létezése előtt. Az egyetlen legkárosabb hiba: a DS rekord hozzáadása a registrar-nál, mielőtt az aláírás valóban él a DNS-szolgáltatónál. Ez hozza létre a “közzétett pecsét, hiányzó kulcs” állapotot, amely a DNSSEC-ellenőrző látogatók számára elérhetetlenné teszi a domainedet. Mindig engedélyezd az aláírást először, majd tedd közzé a DS-t.
• Elavult DS elhagyása a szolgáltató váltása után. Ha DNS-szolgáltatót migrálsz (vagy kikapcsolod az aláírást), de elfelejtesz eltávolítani vagy frissíteni a régi DS rekordot a registrar-nál, egy nem létező kulcsra mutatsz – ugyanolyan törött kimenet. Amikor kikapcsolod a DNSSEC-t vagy áthelyezed, frissítsd a DS-t a registrar-nál ugyanabban a módosításban.
• Megállni az első lépés után. Az aláírás engedélyezése a DNS-szolgáltatónál (a DNSKEY létrehozása), de a DS soha nem hozzáadása a registrar-nál. Minden ‘be’-nek tűnik a DNS irányítópulton, de DS nélkül a védelem soha nem aktiválódik. Elvégezted a munkát, és semmilyen hasznot nem kaptál.
• A HTTPS vagy e-mail-hitelesítés már lefedésnek feltételezése. A lakat és az e-mail-hitelesítés (SPF / DKIM / DMARC) értékesek, de különböző problémákat oldanak meg. Egyikük sem akadályozza meg, hogy egy meghamisított DNS-válasz eleve a rossz helyre küldje a látogatókat.
• Nem figyelve az engedélyezés után. A kulcsok gördülnek, a szolgáltatók változnak, a rekordok szerkesztve lesznek. Egy ma tökéletes beállítás hónapokkal később csendesen törhet. Ha a DNSSEC elég fontos ahhoz, hogy engedélyezd, megér egy rendszeres ellenőrzést, hogy még mindig érvényes-e.

Hol helyezkedik el a besorolásodban

Mindkét ellenőrzés beleszámít a DNS Biztonsági pontszámodba. A DS rekord ellenőrzés a kettő közül a magasabb prioritású: egy hiányzó DS valódi rés, és hibaként pontozódik. A DNSKEY ellenőrzés megerősíti, hogy a lánc többi része is ép – csak akkor megy át, ha egyező DS és DNSKEY is jelen van, és magas súlyossággal jelöli a veszélyes “DS-kulcs nélkül” törött állapotot. Egy tiszta “a DNSSEC egyszerűen még nincs engedélyezve” eredmény a sok vállalkozás közös kiindulópontja; innen az elvégzett DS + DNSKEY pár felé való mozgás egy ingyenes, jól értett frissítés, amely javítja a DNS Biztonsági helyzetét, és eltávolít egy valódi megszemélyesítési és lehallgatási utat.

Állítsd be a tárhelyszolgáltatódnál

Lépésről lépésre a népszerű szolgáltatóknál:

• DNSSEC beállítása GoDaddy esetén
• DNSSEC beállítása Namecheap esetén
• DNSSEC beállítása Cloudflare esetén
• DNSSEC beállítása AWS Route 53 esetén

GYIK