Defaults.Exposed › Taisymai › DNSSEC

Kaip ištaisyti DNSSEC

DNSSEC yra skaitmeninis antspaudas jūsų domeno adresų knygoje. Jis leidžia internetui įrodyti, kad atsakymas į „kur gyvena šis domenas?” tikrai atėjo iš jūsų ir nebuvo pakeistas pakeliui. Be jo, atsakymas gali būti suklastotas – ir jūsų lankytojai tyliai nusiųsti kitur.

Praktinė reikšmė jūsų verslui: Be DNSSEC, užpuolikas, galintis apnuodyti DNS atsakymą, gali nukreipti jūsų klientus į tobulą jūsų svetainės kopiją, kol jų naršyklė vis tiek rodo jūsų tikrą domeno vardą. Prisijungimai, kortelių numeriai ir asmens duomenys renkami, ir sužinote tik iš grąžinimų ir skundų. Sugedusi, nebaigta DNSSEC sąranka yra dar blogiau: ji gali padaryti jūsų svetainę nepasiekiamą augančiai lankytojų daliai be jokios klaidos, kurią kada nors pastebėtumėte.

Ką tai gali kainuoti

• Lankytojai, rašantys jūsų tikrą domeną, tyliai nukreipiami į panašią svetainę, kuri fiksuoja jų slaptažodį ir kortelės detales – ir kadangi adreso juostoje visą laiką rodomas jūsų domenas, niekas nieko neįtaria, kol neateina sukčiavimo ataskaitos.
• Jūsų el. paštas tyliai nukreipiamas: užpuolikas suklastoja atsakymą jūsų pašto serveriams, skaito ar perima žinutes ir iš naujo nustato slaptažodžius paskyroms, kurios el. paštu siunčia jums kodą – visiškai neliesdamas jūsų gaunamojo.
• Pusiau sukonfigūruota DNSSEC sąranka (viešasis antspaudas egzistuoja, bet atitinkamas raktas trūksta) daro jūsų svetainę ir el. paštą atsitiktinai nepavyksiu klientams ant didelių tiekėjų ir įmonių tinklų – pertraukiamos 'jūsų svetainė yra žemyn man' ataskaitos, kurių negalite atkurti.
• Perspektyvos saugumo komanda paleido pirkimo sutarties patikrinimą, nemato DNSSEC ir jus pažymi kaip silpną prie pagrindų – sandoris rizikuojamas dėl nemokamo nustatymo.
• Viešojo sektoriaus ir didesni B2B pirkėjai vis dažniau tikisi DNSSEC kaip bazinę normą (ji nurodyta tokiuose reglamentuose kaip NIS2); jos nebuvimas tyliai diskvalifikuoja jus iš konkursų, prieš prasidedant pokalbiui.

Kodėl tai svarbu. DNS yra interneto adresų knyga, ir pagal numatytąjį jo atsakymai keliauja nepasirašyti – bet kas, kas gali įsibrauti suklastotą atsakymą, gali siųsti jūsų klientus ir jūsų el. paštą bet kur, kol jūsų tikras domenas vis dar rodomas naršyklėje. DNSSEC prideda apsaugotą nuo klastojimo antspaudą tiems atsakymams, kad jie galėtų būti tikrinami kaip tikrai jūsų. Pataisymas yra nemokamas daugelyje tiekėjų; vienintelė reali kaina yra jį padaryti neteisingai, todėl mes kruopščiai apeiname abi puses.

DNSSEC, paprastais žodžiais

Kiekvieną kartą, kai kas nors apsilanko jūsų svetainėje ar siunčia jums el. laišką, jų kompiuteris pirmiausia klausia interneto paprastą klausimą: „kur iš tikrųjų gyvena šis domenas?” Atsakymas – adresų rinkinys jūsų svetainei ir jūsų pašto serveriams – atkeliauja iš DNS, interneto adresų knygos.

Čia yra nepatogi dalis: pagal numatytąjį, tie atsakymai keliauja nepasirašyti. Nėra nieko pridėta įrodyti, kad atsakymas yra tikras. Jei kas nors gali įslinkti suklastotą atsakymą į tą pokalbį – ir yra gerai žinomų, įrodytų būdų tai padaryti – lankytojo kompiuteris mielai jį priims. Nuo to momento lankytojas gali kalbėti su užpuoliko serveriu, kol jų naršyklė vis tiek adreso juostoje rodo jūsų domeno vardą.

DNSSEC yra pataisymas. Jis prideda apsaugotą nuo klastojimo skaitmeninį antspaudą prie jūsų DNS atsakymų. Kai DNSSEC yra įjungtas, internetas gali matematiškai patikrinti, kad atsakymas tikrai atėjo iš jūsų ir nebuvo pakeistas pakeliui. Suklastotas atsakymas nepavyksta patikrinimui ir yra atmetamas. Tai yra skirtumas tarp adresų knygos, į kurią bet kas gali rašyti, ir tokios, kur kiekvienas įrašas yra pasirašytas ir liudytas.

Šis puslapis apima dvi dalis, kurias mūsų tikrinimas kartu žiūri: ar antspaudas paskelbtas (DS įrašas) ir ar atitinkamas raktas iš tikrųjų egzistuoja (DNSKEY įrašas). Pamatysite, kodėl abu svarbu netrukus – nes vieno be kito turėjimas yra savo problemos rūšis.

Kiek tai gali jus kainuoti

Tai yra realistiški, suvestiniai šablonai – ne bet kuri pavadinta įmonė.

• Nematomas peradresavimas. Užpuolikas apnuodija DNS atsakymą jūsų domenui. Klientai įveda jūsų tikrą žiniatinklio adresą, mato jūsų tikrą domeną juostoje ir patenka ant tobulos jūsų prisijungimo ar kasos puslapio kopijos, prieglobstomos užpuoliko. Kiekvienas slaptažodis ir kortelės numeris, kurį jie įveda, eina tiesiai nusikaltėliui. Apie tai sužinote tik tada, kai ateina grąžinimai ir „buvau nulaužtas per jūsų svetainę” skambučiai – ir pėdsakas veda atgal prie jūsų prekės ženklo, ne užpuoliko.
• Tylusis el. pašto perėmimas. DNS ne tik nurodo į jūsų svetainę; jis nurodo į jūsų pašto serverius. Suklastokite tą atsakymą ir gaunamasis el. paštas gali būti nukreiptas per užpuoliką pirma. Jie skaito jautrias žinutes, renka vienkartinius kodus, kuriuos paslaugos el. paštu siunčia „patvirtinti, kad esate jūs”, ir iš naujo nustato slaptažodžius paskyroms, susietoms su jūsų domenu – neprisiregistravęs prie jūsų gaunamojo.
• Gedimas, kurio negalite atkurti. Šis atsiranda iš nebaigtos DNSSEC sąrankos. Viešasis antspaudas (DS) sėdi jūsų registratoriuje, bet atitinkamas raktas (DNSKEY) yra trūkstamas ar neteisingas. Lankytojai ant tiekėjų ir įmonių tinklų, tikrinančių DNSSEC – o jų daugėja kiekvienais metais – tiesiog negali išspręsti jūsų domeno. Jūsų svetainė ir el. paštas puikiai veikia jums ir jūsų technikos atstovams, bet tikrų klientų dalis gauna „šios svetainės negalima pasiekti” be jokios klaidos, kurią galite matyti. Tai yra viena sunkiausiai diagnozuojamų problemų tiksliai todėl, kad ji yra nematoma iš vidaus.
• Prarastas sandoris. Perspektyvos saugumo ar pirkimų komanda paleido įprastą pirkimo sutarties domenų nuskaitymą. Nėra DNSSEC rodosi kaip raudona žyma „DNS saugumo pagrindai”. Nemokamam, gerai suprastam valdikliui jo nebuvimas skaitomas kaip aplaidumas – ir tai gali tyliai kainuoti jums sutartį, kurią niekada nežinojote, kad yra jeopardyje.
• Konkursas, kuriam net nesikvalifikuojate. Reglamentai ir pirkėjų kontroliniai sąrašai vis dažniau nurodo DNSSEC kaip tikėtiną bazinę higieną (jis yra nuoroda pagal NIS2 DNS saugumo nuostatas). Didesni B2B ir viešojo sektoriaus pirkėjai gali jus filtruoti prieš prasidedant pardavimo pokalbiui, tiesiog todėl, kad langelis nepatikrintas.

Kas tai iš tikrųjų yra

DNSSEC veikia kaip pasitikėjimo grandinė, ir ji turi dvi judančias dalis, kurios turi sutikti viena su kita. Tai yra esmė, kodėl mūsų tikrinimas žiūri į du dalykus.

DNSKEY – jūsų raktas. Jūsų DNS tiekėjas laiko kriptografinį raktą ir jį naudoja pasirašydamas jūsų DNS įrašus. Viešoji to rakto pusė paskelbta kaip DNSKEY įrašas. Galvokite apie tai kaip antspaudą, laikomą jūsų pusėje.

DS įrašas – pirštų atspaudas, garantuojantis raktą. Trumpas to rakto pirštų atspaudas, vadinamas DS (Delegavimo pasirašytojo) įrašu, paskelbtas vienu lygiu aukščiau – jūsų domeno registre, per jūsų registratorių. Tai yra tai, kas leidžia likusiam internetui pasitikėti jūsų raktu: kiekvienas lygis garantuoja tą žemiau esantį, visos kelias iki interneto šaknies. DS yra antspaudas, oficialiai užregistruotas, kad visi kiti galėtų jį atpažinti.

Kad DNSSEC iš tikrųjų apsaugotų jus, abu turi būti ir turi atitikti:

• DS yra + DNSKEY yra ir atitinka → gerai. Pasitikėjimo grandinė yra išbaigta. Suklastoti atsakymai yra atmetami; teisėti tikrinami. Tai yra „praėjimo” būsena.
• Nėra DS (ir nėra DNSKEY) → DNSSEC tiesiog nėra įjungtas. Jums nėra apsaugos, bet nieko nėra sugedę. Tai yra dažniausia „dar nepadaryta” būsena. (Mūsų vertinime tai yra kur DS tikrinimas skaičiuojamas prieš jus; sujungtas rakto tikrinimas laiko švarią, pilnai „išjungtą” būseną kaip informacinę, o ne tikrą nesėkmę, nes niekas nėra aktyviai sugedę.)
• DS yra, bet DNSKEY trūksta ar neatitinka → sugedęs, ir blogiau nei išjungtas. Internetas mato paskelbtą antspaudą, nurodantį į raktą, kurio nėra. Patvirtinantys sprendėjai nusprendžia, kad jūsų domenas buvo klastojamas, ir atsisako jį spręsti – sukeldami aukščiau aprašytus pertraukiamus gedimus. Tai yra skubiausia būsena ištaisyti, ir mūsų tikrinimas ją pažymi kaip aukšto rimtumo.
• DNSKEY yra, bet nėra DS registratoriuje → įjungtas, bet neaktyvuotas. Jūsų įrašai yra pasirašyti, bet kadangi pirštų atspaudas niekada nebuvo užregistruotas vienu lygiu aukščiau, likusiam internetui nėra kaip jais pasitikėti. Jūs darote darbą be apsaugos. Pataisymas yra DS įrašo pridėjimas jūsų registratoriuje.

Kaip atrodo „gerai” viena eilute: DS įrašas jūsų registratoriuje, kurio pirštų atspaudas atitinka gyvą DNSKEY jūsų DNS tiekėjo, abu patvirtinti greita paieška.

Kaip tai ištaisyti (nemokama, ~10–30 minučių)

Perduokite šią dalį tam, kas valdo jūsų domeną ar svetainę. Pats pataisymas yra nemokamas daugelyje tiekėjų – vienintelė kaina yra jį atlikti atsargiai, kad abi pusės išliktų sinchronizuotos. Mes imame mokestį tik jei vėliau norėsite, kad stebėtume, ar jis toliau teisingai įjungtas.

Auksinis taisyklė: pirma įjunkite pasirašymą (kas sukuria DNSKEY), tada paskelbkite DS įrašą registratoriuje – niekada atvirkščiai, ir niekada vieno be kito. DS paskelbimas prieš rakto egzistavimą yra tiksliai tai, kas sukelia gedimus.

Paprastas kelias (rekomenduojama – Cloudflare):

1. Cloudflare, įsitikinkite, kad Cloudflare iš tikrųjų valdo jūsų DNS (jūsų vardų serveriai nurodo į Cloudflare).
2. Eikite į DNS → Nustatymai → DNSSEC → Įjungti DNSSEC. Cloudflare generuoja ir valdo raktus jums (tai automatiškai sukuria DNSKEY pusę).
3. Cloudflare parodo jums DS įrašo detales, kurias reikia paskelbti jūsų registratoriuje.
4. Prisijunkite prie savo domeno registratoriaus (pvz., GoDaddy, Namecheap, OVH) ir raskite DNSSEC skyrių. Įklijuokite DS reikšmes, kurias suteikė Cloudflare.
5. Palaukite 24–48 valandų pilno paplitimo. Jūsų svetainė ir el. paštas toliau veikia.

Kiti DNS tiekėjai (AWS Route 53, jūsų žiniatinklio priegloba ir kt.):

1. Savo DNS tiekėjo valdymo skydelyje, įjunkite DNSSEC / „pasirašykite šią zoną”. Tai generuoja pasirašymo raktus ir paskelbia DNSKEY įrašus.
2. Nukopijuokite DS įrašą, kurį sukuria tiekėjas.
3. Pridėkite tą DS įrašą savo registratoriuje jo DNSSEC nustatymuose.
4. Patvirtinkite, kad registratorius jį priėmė ir palaukite paplitimo.

Platformų pastabos:

• Cloudflare – vienas spustelėjimas įjungti, tada vienas DS įklijavimas registratoriuje. Lengviausias kelias.
• AWS Route 53 – įjunkite DNSSEC pasirašymą ant prieglobos zonos, tada pridėkite DS įrašą savo domeno registratoriuje (jei domenas užregistruotas Route 53, AWS gali jį sujungti jums).
• Microsoft 365 / Google Workspace – jos valdo jūsų el. paštą, paprastai ne jūsų DNS zoną. DNSSEC įjungtas ten, kur DNS įrašai iš tikrųjų gyvena (dažnai jūsų registratorius, priegloba ar Cloudflare), ne 365/Workspace administratoriaus centre.
• Jūsų DNS tiekėjas apskritai nepalaiko DNSSEC? Tai yra įprasta su senesnėmis ar biudžeto prieglobomis. Švarus pataisymas yra DNS valdymą perkelti pas tiekėją, kuris tai daro (Cloudflare yra nemokamas), tada sekti paprastą kelią aukščiau. DNS perkėlimas nereikalauja perkelti jūsų svetainės ar el. pašto.

Patikrinkite, ar veikia:

• Paleiskite dig DS jusudomenas.com ir dig DNSKEY jusudomenas.com – abu turėtų grąžinti įrašus.
• Ar naudokite bet kurį nemokamą internetinį DNSSEC tikrinimo įrankį ir patvirtinkite žalią/galiojančią pasitikėjimo grandinę.
• Nelaikykite to padarytą, kol abu negrįžta atitinkančių įrašų. DS be DNSKEY yra sugedusi būsena – nedelsiant ją ištaisykite ar pašalinkite.

Dažnos klaidos

• DS paskelbimas prieš rakto egzistavimą. Viena žalingiausia klaida: DS įrašo pridėjimas registratoriuje prieš pasirašymą iš tikrųjų yra gyvas DNS tiekėjo. Tai sukuria „paskelbto antspaudo, trūkstamo rakto” būseną, kuri daro jūsų domeną nesprendžiamu DNSSEC tikrinančių lankytojų. Visada pirma įjunkite pasirašymą, tada paskelbkite DS.
• Seną DS paliekant po tiekėjų keitimo. Jei perkeliate DNS tiekėjus (ar išjungiate pasirašymą), bet pamirštate pašalinti ar atnaujinti seną DS įrašą registratoriuje, esate nurodę į raktą, kurio daugiau nėra – ta pati sugedusi pasekmė. Kai išjungiate DNSSEC ar jį perkeliate, atnaujinkite DS registratoriuje tame pačiame pakeitime.
• Sustoti po pirmojo žingsnio. Pasirašymo įjungimas DNS tiekėjo (DNSKEY sukūrimas), bet niekada DS nepridedant registratoriuje. Viskas atrodo „įjungta” DNS prietaisų skydelyje, bet be DS apsauga niekada neaktyvuojama. Atlikote darbą ir negavote jokios naudos.
• Manant, kad HTTPS ar el. pašto autentifikavimas jau tai apima. Spyna ir el. pašto autentifikavimas (SPF / DKIM / DMARC) yra vertingi, bet sprendžia skirtingas problemas. Nė vienas iš jų nesustabdo suklastoto DNS atsakymo nuo lankytojų siuntimo į netinkamą vietą pirma.
• Nestebėjimas po įjungimo. Raktai keičiami, tiekėjai keičiasi, įrašai redaguojami. Sąranka, kuri šiandien yra tobula, gali tyliai sugedusi po mėnesių. Jei DNSSEC pakankamai svarbu įjungti, verta periodiškai patikrinti, kad jis vis dar galioja.

Kur tai yra jūsų vertinime

Abu šie tikrinimai skaičiuojasi į jūsų DNS saugumo rezultatą. DS įrašo tikrinimas laikomas aukštesniu prioritetu iš dviejų: trūkstamas DS yra tikras atotrūkis ir vertinamas kaip nesėkmė. DNSKEY tikrinimas patvirtina, kad likusios grandinės dalys yra sveikas – jis praeina tik kai atitinkantis DS ir DNSKEY abu yra, ir jis pažymi pavojingą „DS-be-rakto” sugedusią būseną kaip aukšto rimtumo. Švari „DNSSEC tiesiog nėra įjungtas dar” rezultatas yra įprastas daugelio verslų pradžios taškas; perėjimas iš ten į išbaigtą, atitinkančių DS + DNSKEY porą yra nemokamas, gerai suprastas atnaujinimas, gerinantis jūsų DNS saugumo padėtį ir pašalinantis tikrą apsimetinėjimo ir perėmimo kelią.

Nustatymas pas savo tiekėją

Žingsnis po žingsnio populiariems tiekėjams:

• Nustatyti DNSSEC pas GoDaddy
• Nustatyti DNSSEC pas Namecheap
• Nustatyti DNSSEC pas Cloudflare
• Nustatyti DNSSEC pas AWS Route 53

DUK