Defaults.Exposed › Pembaikan › DNSSEC
Cara memperbaiki DNSSEC
DNSSEC adalah cop digital pada buku alamat domain anda. Ia membolehkan internet membuktikan bahawa jawapan kepada 'di mana domain ini berada?' benar-benar datang dari anda dan tidak diusik dalam perjalanan. Tanpanya, jawapan boleh dipalsukan — dan pengunjung anda secara senyap dihantar ke tempat lain.
Kesimpulan untuk perniagaan anda: Tanpa DNSSEC, penyerang yang boleh meracuni jawapan DNS boleh menghala pelanggan anda ke salinan sempurna laman anda sementara pelayar mereka masih menunjukkan nama domain sebenar anda. Log masuk, nombor kad dan data peribadi dipanen, dan anda hanya mendapatinya dari caj balik dan aduan. Persediaan DNSSEC setengah-siap yang rosak adalah lebih teruk lagi: ia boleh menjadikan laman anda tidak boleh dicapai untuk bahagian pengunjung yang semakin berkembang tanpa sebarang ralat yang anda akan perasan.
Apakah kos yang boleh timbul
- Pengunjung yang menaip domain sebenar anda dialihkan secara senyap ke tiruan yang menangkap kata laluan dan butiran kad mereka — dan kerana bar alamat menunjukkan domain anda sepanjang masa, tiada siapa yang mencurigai sesuatu sehingga laporan penipuan tiba.
- E-mel anda dialihkan secara senyap: penyerang memalsukan jawapan untuk pelayan mel anda, membaca atau memintas mesej, dan menetapkan semula kata laluan pada akaun yang menghantar kod kepada anda melalui e-mel — semuanya tanpa menyentuh peti masuk anda.
- Persediaan DNSSEC setengah dikonfigurasi (cop awam wujud tetapi kunci yang sepadan tiada) menjadikan laman web dan e-mel anda gagal secara rawak untuk pelanggan pada ISP besar dan rangkaian korporat — laporan 'laman anda tidak berfungsi untuk saya' yang berselang-seli yang anda tidak boleh hasilkan semula.
- Pasukan keselamatan prospek menjalankan semakan pra-kontrak, melihat tiada DNSSEC, dan menandakan anda sebagai lemah pada asas-asas — meletakkan urusan perniagaan pada risiko atas tetapan percuma.
- Pembeli sektor awam dan B2B yang lebih besar semakin mengharapkan DNSSEC sebagai garis dasar (ia dinamakan dalam peraturan seperti NIS2); ketiadaannya secara senyap mendiskualifikasikan anda dari tender sebelum perbualan bermula.
Mengapa ia penting. DNS adalah buku alamat internet, dan secara lalai jawapannya bergerak tanpa ditandatangani — sesiapa yang boleh menyelinap masuk jawapan palsu boleh menghantar pelanggan dan e-mel anda ke mana sahaja yang mereka mahu, dengan domain sebenar anda masih ditunjukkan dalam pelayar. DNSSEC meletakkan cop kalis gangguan pada jawapan-jawapan itu supaya mereka boleh disahkan sebagai benar-benar milik anda. Pembetulan adalah percuma pada kebanyakan pembekal; satu-satunya kos sebenar adalah melakukannya dengan salah, itulah sebabnya kami membimbing melalui kedua-dua bahagian dengan teliti.
DNSSEC, dalam bahasa mudah
Setiap kali seseorang melawati laman web anda atau menghantar e-mel kepada anda, komputer mereka terlebih dahulu bertanya kepada internet soalan mudah: “di mana domain ini sebenarnya berada?” Jawapan — set alamat untuk laman anda dan pelayan mel anda — datang kembali dari DNS, buku alamat internet.
Inilah bahagian yang tidak selesa: secara lalai, jawapan-jawapan itu bergerak tanpa ditandatangani. Tiada apa yang dilampirkan untuk membuktikan jawapan itu tulen. Jika seseorang boleh menyelinap masuk jawapan palsu ke dalam perbualan itu — dan terdapat cara yang terkenal dan terbukti untuk melakukan tepat itu — komputer pengunjung anda dengan senang akan menerimanya. Dari saat itu, pengunjung boleh bercakap dengan pelayan penyerang sementara pelayar mereka masih menunjukkan nama domain anda dalam bar alamat.
DNSSEC adalah pembetulan. Ia menambah cop digital kalis gangguan kepada jawapan DNS anda. Apabila DNSSEC dihidupkan, internet boleh membuktikan secara matematik bahawa jawapan benar-benar datang dari anda dan tidak diubah dalam perjalanan. Jawapan yang dipalsukan gagal semakan dan dibuang. Ia adalah perbezaan antara buku alamat yang sesiapa boleh conteng dan satu di mana setiap entri ditandatangani dan disaksikan.
Halaman ini merangkumi dua bahagian yang semakan kami cari bersama-sama: sama ada cop diterbitkan (rekod DS) dan sama ada kunci yang sepadan di belakangnya benar-benar wujud (rekod DNSKEY). Anda akan melihat mengapa kedua-duanya penting tidak lama lagi — kerana mempunyai satu tanpa yang lain adalah masalah tersendiri.
Apa yang ini boleh koskan anda
Ini adalah corak realistik dan agregat — bukan mana-mana perniagaan yang dinamakan.
- Pengalihan yang tidak kelihatan. Penyerang meracuni jawapan DNS untuk domain anda. Pelanggan menaip alamat web sebenar anda, melihat domain sebenar anda dalam bar, dan mendarat di salinan sempurna halaman log masuk atau checkout anda yang dihoskan oleh penyerang. Setiap kata laluan dan nombor kad yang mereka masukkan pergi terus kepada penjenayah. Anda mendengarnya hanya apabila caj balik dan panggilan “saya digodam melalui laman anda” bermula — dan jejak itu menunjuk kembali ke jenama anda, bukan penyerang.
- Pemintasan e-mel yang senyap. DNS tidak hanya menunjuk ke laman web anda; ia menunjuk ke pelayan mel anda. Memalsukan jawapan itu dan e-mel masuk boleh dialihkan melalui penyerang terlebih dahulu. Mereka membaca mesej sensitif, menuai kod sekali guna yang perkhidmatan hantar melalui e-mel untuk “mengesahkan ia anda,” dan menetapkan semula kata laluan pada akaun yang terikat kepada domain anda — semuanya tanpa pernah log masuk ke peti masuk anda.
- Gangguan yang tidak boleh anda hasilkan semula. Ini datang dari persediaan DNSSEC setengah-siap. Cop awam (DS) duduk di pendaftar anda, tetapi kunci yang sepadan (DNSKEY) tiada atau salah. Pengunjung pada ISP dan rangkaian korporat yang menyemak DNSSEC — dan semakin banyak setiap tahun — tidak boleh menyelesaikan domain anda sama sekali. Laman dan e-mel anda berfungsi baik untuk anda dan teknologi anda, tetapi sebahagian pelanggan sebenar mendapat “laman ini tidak dapat dicapai” tanpa sebarang ralat yang boleh anda lihat. Ia adalah salah satu masalah yang paling sukar untuk didiagnosis tepat kerana ia tidak kelihatan dari dalam.
- Urusan yang hilang. Pasukan keselamatan atau perolehan prospek menjalankan imbasan pra-kontrak rutin domain anda. Tiada DNSSEC muncul sebagai tanda merah pada “asas keselamatan DNS.” Untuk kawalan percuma yang difahami dengan baik, ketiadaannya dibaca sebagai kecuaian — dan ia boleh secara senyap mengenakan kos kepada anda kontrak yang anda tidak pernah tahu dalam bahaya.
- Tender yang anda tidak layak untuk. Peraturan dan senarai semak pembeli semakin menyebut DNSSEC sebagai kebersihan garis dasar yang dijangka (ia dirujuk di bawah peruntukan DNS-keselamatan NIS2). Pembeli B2B dan sektor awam yang lebih besar mungkin menapis anda keluar sebelum perbualan jualan bermula, hanya kerana kotak tidak ditandai.
Apa yang sebenarnya
DNSSEC berfungsi sebagai rantai kepercayaan, dan ia mempunyai dua bahagian bergerak yang perlu bersetuju antara satu sama lain. Inilah inti mengapa semakan kami melihat dua perkara.
DNSKEY — kunci anda. Pembekal DNS anda memegang kunci kriptografi dan menggunakannya untuk menandatangani rekod DNS anda. Separuh awam kunci itu diterbitkan sebagai rekod DNSKEY. Bayangkan ia sebagai cop yang dipegang di pihak anda.
Rekod DS — cap jari yang menjamin kunci. Cap jari pendek dari kunci itu, dipanggil rekod DS (Delegation Signer), diterbitkan satu peringkat ke atas — di pendaftaran domain anda, melalui pendaftar anda. Inilah yang membolehkan selebihnya internet mempercayai kunci anda: setiap peringkat menjamin yang di bawahnya, semua jalan ke akar internet. DS adalah cop yang didaftarkan secara rasmi supaya semua orang lain boleh mengenalinya.
Bagi DNSSEC untuk benar-benar melindungi anda, kedua-duanya mesti hadir dan mesti sepadan:
- DS hadir + DNSKEY hadir dan sepadan → baik. Rantai kepercayaan adalah lengkap. Jawapan yang dipalsukan ditolak; yang sah disahkan. Ini adalah keadaan “lulus”.
- Tiada DS (dan tiada DNSKEY) → DNSSEC hanya tidak dihidupkan. Anda tidak mempunyai perlindungan, tetapi tiada yang rosak. Ini adalah keadaan “belum selesai” yang paling biasa. (Dalam pemarkahan kami ini adalah di mana semakan DS dikira terhadap anda; semakan kunci-gabungan menganggap keadaan “dimatikan” bersih sepenuhnya sebagai maklumat dan bukannya kegagalan keras, kerana tiada yang secara aktif rosak.)
- DS hadir, tetapi DNSKEY tiada atau tidak sepadan → rosak, dan lebih teruk daripada dimatikan. Internet melihat cop yang diterbitkan yang menunjuk ke kunci yang tidak ada. Penyelesai pengesahan menyimpulkan domain anda telah diusik dan enggan menyelesaikannya — menyebabkan gangguan yang berselang-seli seperti yang diterangkan di atas. Ini adalah keadaan yang paling mendesak untuk diperbetulkan, dan semakan kami menandakannya sebagai keparahan tinggi.
- DNSKEY hadir, tetapi tiada DS di pendaftar → dihidupkan tetapi tidak diaktifkan. Rekod anda ditandatangani, tetapi kerana cap jari tidak pernah didaftarkan satu peringkat ke atas, selebihnya internet tidak mempunyai cara untuk mempercayainya. Anda mendapat kerja tanpa perlindungan. Pembetulan adalah untuk menambah rekod DS di pendaftar anda.
Apa yang “baik” kelihatan, dalam satu baris: rekod DS di pendaftar anda yang cap jarinya sepadan dengan DNSKEY aktif di pembekal DNS anda, kedua-duanya disahkan dengan carian pantas.
Cara membetulkannya (percuma, ~10–30 minit)
Serahkan bahagian ini kepada sesiapa yang menguruskan domain atau laman web anda. Pembetulan itu sendiri adalah percuma pada kebanyakan pembekal — satu-satunya kos adalah melakukannya dengan teliti supaya kedua-dua bahagian kekal segerak. Kami mengenakan bayaran hanya jika anda kemudiannya mahu kami memantau bahawa ia kekal didayakan dengan betul.
Peraturan emas: dayakan penandatanganan dahulu (yang mencipta DNSKEY), kemudian terbitkan rekod DS di pendaftar — tidak pernah sebaliknya, dan tidak pernah satu tanpa yang lain. Menerbitkan DS sebelum kunci wujud adalah tepat apa yang menyebabkan gangguan.
Laluan mudah (disyorkan — Cloudflare):
- Di Cloudflare, pastikan Cloudflare sebenarnya menjalankan DNS anda (pelayan nama anda menghala ke Cloudflare).
- Pergi ke DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare menjana dan menguruskan kunci untuk anda (ini mencipta sisi DNSKEY secara automatik).
- Cloudflare menunjukkan kepada anda butiran rekod DS untuk diterbitkan di pendaftar anda.
- Log masuk ke pendaftar domain anda (mis. GoDaddy, Namecheap, OVH) dan cari bahagian DNSSEC. Tampal nilai DS yang Cloudflare berikan kepada anda.
- Tunggu 24–48 jam untuk penyebaran penuh. Laman dan e-mel anda terus berfungsi sepanjang masa.
Pembekal DNS lain (AWS Route 53, hos web anda, dll.):
- Dalam panel kawalan pembekal DNS anda, dayakan DNSSEC / “tandatangani zon ini.” Ini menjana kunci penandatanganan dan menerbitkan rekod DNSKEY.
- Salin rekod DS yang pembekal hasilkan.
- Tambah rekod DS itu di pendaftar anda di bawah tetapan DNSSEC-nya.
- Sahkan pendaftar menerimanya dan tunggu penyebaran.
Nota platform:
- Cloudflare — satu klik untuk didayakan, kemudian satu tampal DS di pendaftar. Laluan termudah sejauh ini.
- AWS Route 53 — dayakan penandatanganan DNSSEC pada zon yang dihoskan, kemudian tambah rekod DS di pendaftar domain anda (jika domain didaftarkan dengan Route 53, AWS boleh menghubungkannya untuk anda).
- Microsoft 365 / Google Workspace — ini menjalankan e-mel anda, biasanya bukan zon DNS anda. DNSSEC didayakan di mana sahaja rekod DNS anda sebenarnya berada (sering pendaftar anda, hos, atau Cloudflare), bukan dalam pusat pentadbir 365/Workspace.
- Pembekal DNS anda tidak menyokong DNSSEC langsung? Itu biasa dengan hos yang lebih lama atau lebih murah. Pembetulan yang bersih adalah untuk memindahkan pengurusan DNS kepada pembekal yang menyokongnya (Cloudflare adalah percuma), kemudian ikuti laluan mudah di atas. Memindahkan DNS tidak memerlukan memindahkan laman web atau e-mel anda.
Sahkan ia berfungsi:
- Jalankan
dig DS domainanda.comdandig DNSKEY domainanda.com— kedua-duanya sepatutnya mengembalikan rekod. - Atau gunakan mana-mana semak DNSSEC percuma dalam talian dan sahkan rantai kepercayaan yang hijau/sah.
- Jangan anggap selesai sehingga kedua-dua mengembalikan rekod yang sepadan. DS tanpa DNSKEY adalah keadaan yang rosak — betulkan atau alihkan dengan segera.
Kesilapan biasa
- Menerbitkan DS sebelum kunci wujud. Kesilapan paling merosakkan yang tunggal: menambah rekod DS di pendaftar sebelum penandatanganan sebenarnya aktif di pembekal DNS. Ini mencipta keadaan “cop diterbitkan, kunci tiada” yang menjadikan domain anda tidak dapat diselesaikan untuk pengunjung yang menyemak DNSSEC. Sentiasa dayakan penandatanganan dahulu, kemudian terbitkan DS.
- Meninggalkan DS yang lapuk selepas menukar pembekal. Jika anda berpindah pembekal DNS (atau melumpuhkan penandatanganan) tetapi terlupa untuk mengalih atau mengemas kini rekod DS lama di pendaftar, anda terperangkap menunjuk ke kunci yang tidak lagi wujud — hasil yang rosak yang sama. Apabila anda mematikan DNSSEC atau memindahkannya, kemas kini DS di pendaftar dalam perubahan yang sama.
- Berhenti selepas langkah satu. Mendayakan penandatanganan di pembekal DNS (mencipta DNSKEY) tetapi tidak pernah menambah DS di pendaftar. Segalanya kelihatan “dihidupkan” dalam papan pemuka DNS, tetapi tanpa DS perlindungan tidak pernah diaktifkan. Anda melakukan kerja dan tidak mendapat faedah.
- Menganggap HTTPS atau pengesahan e-mel sudah merangkuminya. Kunci dan pengesahan e-mel (SPF / DKIM / DMARC) adalah berharga tetapi menyelesaikan masalah yang berbeza. Tiada satu pun daripada mereka menghentikan jawapan DNS yang dipalsukan daripada menghantar pengunjung ke tempat yang salah untuk memulakan.
- Tidak memantau selepas mendayakan. Kunci digulung, pembekal berubah, rekod disunting. Persediaan yang sempurna hari ini boleh rosak secara senyap berbulan-bulan kemudian. Jika DNSSEC cukup penting untuk didayakan, ia berbaloi semakan berkala bahawa ia masih sah.
Di mana ini duduk dalam gred anda
Kedua-dua semakan ini dikira ke arah skor Keselamatan DNS anda. Semakan rekod DS dianggap sebagai keutamaan yang lebih tinggi dari dua: DS yang tiada adalah jurang yang nyata dan dinilai sebagai kegagalan. Semakan DNSKEY mengesahkan selebihnya rantai adalah utuh — ia lulus hanya apabila DS dan DNSKEY yang sepadan kedua-duanya hadir, dan ia menandakan keadaan “DS-tanpa-kunci” yang berbahaya sebagai keparahan tinggi. Hasil “DNSSEC belum didayakan” yang bersih adalah titik permulaan biasa bagi banyak perniagaan; bergerak dari sana ke pasangan DS + DNSKEY yang lengkap dan sepadan adalah naik taraf percuma dan difahami dengan baik yang meningkatkan kedudukan Keselamatan DNS anda dan menghapuskan jalan tulen untuk penyamaran dan pemintasan.
Sediakan pada hos anda
Langkah demi langkah untuk pembekal popular:
- Sediakan DNSSEC pada GoDaddy
- Sediakan DNSSEC pada Namecheap
- Sediakan DNSSEC pada Cloudflare
- Sediakan DNSSEC pada AWS Route 53
Soalan Lazim
Saya bukan orang teknikal — adakah ini perlu saya tangani secara peribadi?
Tidak. Anda perlu memahami mengapa ia penting (halaman ini merangkumi itu), tetapi perubahan sebenar berada dalam tetapan DNS dan pendaftar domain anda, jadi ia adalah milik sesiapa yang menguruskan domain atau laman web anda. Serahkan kepada mereka bahagian 'Cara membetulkannya' — ia percuma dan biasanya mengambil masa kurang dari setengah jam. Kami hanya mengenakan bayaran jika anda kemudiannya mahu kami terus memantau bahawa ia kekal dihidupkan dengan betul.
Jika laman saya sudah mempunyai kunci (HTTPS), bukankah saya sudah dilindungi?
Mereka melindungi perkara yang berbeza. Kunci mengamankan sambungan setelah pengunjung telah mencapai pelayan yang betul. DNSSEC melindungi langkah sebelum itu — memastikan mereka mencapai pelayan yang betul untuk memulakan. Penyerang yang memalsukan DNS anda boleh menghantar pengunjung ke pelayan mereka sendiri, yang boleh mempunyai kunci sah sendiri pada domain tiruan atau bahkan pada salinan milik anda. Anda memerlukan kedua-duanya; satu tidak menggantikan yang lain.
Bolehkah menghidupkan DNSSEC memutuskan laman web atau e-mel saya?
Dilakukan dalam satu tempat oleh pembekal yang menyokongnya, tidak — pembekal moden mengendalikan kunci untuk anda dan ia hanya berfungsi. Risiko datang dari melakukannya dalam dua langkah yang terputus dan hanya menyiapkan satu: menerbitkan 'cop' awam (rekod DS) di pendaftar anda sementara kunci yang sepadan (DNSKEY) tiada atau tidak sepadan. Keadaan yang rosak itu adalah lebih teruk daripada tiada DNSSEC dan menyebabkan gangguan yang berselang-seli. Langkah di bawah memastikan kedua-dua bahagian segerak supaya ini tidak berlaku.
Kami mengehoskan dengan Cloudflare / Google Workspace / Microsoft 365 — adakah itu merangkumi perkara ini?
Tidak secara automatik, tetapi ia memudahkannya. Di mana DNS anda diuruskan adalah yang penting. Jika Cloudflare menjalankan DNS anda, ia adalah satu klik untuk didayakan ditambah menampal satu rekod di pendaftar anda. Microsoft 365 dan Google Workspace mengendalikan e-mel, biasanya bukan zon DNS anda — DNSSEC didayakan di mana sahaja rekod DNS domain anda sebenarnya berada (sering Cloudflare, pendaftar anda, atau hos anda). Langkah di bawah merangkumi kes biasa.
Apa sebenarnya 'DS' dan 'DNSKEY' — dan mengapa halaman ini menyebut kedua-duanya?
Mereka adalah dua separuh satu kunci. DNSKEY adalah kunci yang dipegang oleh pembekal DNS anda dan digunakan untuk menandatangani rekod anda. DS adalah cap jari dari kunci itu, diterbitkan satu peringkat ke atas di pendaftar anda supaya selebihnya internet boleh mengesahkan kunci itu benar-benar milik anda. Kedua-duanya mesti hadir dan mesti sepadan. Kami menyemak kedua-duanya: DS yang tiada bermaksud DNSSEC tidak dihidupkan; DS tanpa DNSKEY yang sepadan bermaksud ia dihidupkan tetapi rosak.
Berapa lama sehingga ia berfungsi, dan bagaimana saya mengesahkannya?
Benarkan 24–48 jam untuk perubahan menyebar sepenuhnya merentasi internet; laman sedia ada anda dan e-mel terus berfungsi sepanjang masa jika dilakukan dengan betul. Untuk mengesahkan, orang IT anda boleh menjalankan 'dig DS domainanda' dan 'dig DNSKEY domainanda' dan melihat rekod dikembalikan untuk kedua-duanya, atau gunakan mana-mana semak DNSSEC percuma dalam talian. Kami juga boleh memantaunya secara berterusan supaya kerosakan masa depan dikesan pada hari ia berlaku, bukan hari pelanggan mengadu.