Defaults.Exposed › Naprawy › DNSSEC

Jak naprawić DNSSEC

DNSSEC to cyfrowa pieczęć na książce adresowej Twojej domeny. Pozwala internetowi udowodnić, że odpowiedź na pytanie „gdzie mieszka ta domena?” naprawdę pochodzi od Ciebie i nie została po drodze zmanipulowana. Bez niego odpowiedź można sfałszować — a Twoich odwiedzających po cichu wysłać gdzie indziej.

W skrócie dla Twojej firmy: Bez DNSSEC atakujący, który potrafi zatruć odpowiedź DNS, może skierować Twoich klientów do idealnej kopii Twojej witryny, podczas gdy ich przeglądarka wciąż pokazuje Twoją prawdziwą nazwę domeny. Loginy, numery kart i dane osobowe są zbierane, a Ty dowiadujesz się dopiero z obciążeń zwrotnych i skarg. Zepsuta, niedokończona konfiguracja DNSSEC jest jeszcze gorsza: może uczynić Twoją witrynę nieosiągalną dla rosnącego ułamka odwiedzających, bez żadnego błędu, który byś zauważył.

Ile może Cię to kosztować

• Odwiedzający wpisujący Twoją prawdziwą domenę są po cichu przekierowywani do sobowtóra, który przechwytuje ich hasło i dane karty — a ponieważ pasek adresu cały czas pokazuje Twoją domenę, nikt niczego nie podejrzewa, dopóki nie nadejdą zgłoszenia oszustwa.
• Twój e-mail jest po cichu przekierowywany: atakujący fałszuje odpowiedź dla Twoich serwerów pocztowych, czyta lub przechwytuje wiadomości i resetuje hasła na kontach, które wysyłają Ci kod e-mailem — wszystko bez tknięcia Twojej skrzynki.
• Niedokończona konfiguracja DNSSEC (publiczna pieczęć istnieje, ale brakuje pasującego klucza) sprawia, że Twoja witryna i e-mail losowo zawodzą u klientów u dużych dostawców internetu i w sieciach firmowych — przerywane zgłoszenia „twoja strona u mnie nie działa”, których nie potrafisz odtworzyć.
• Zespół bezpieczeństwa potencjalnego klienta robi sprawdzenie przed kontraktem, nie widzi DNSSEC i obniża Ci ocenę jako słaby w fundamentach — narażając transakcję z powodu darmowego ustawienia.
• Kupujący z sektora publicznego i więksi nabywcy B2B coraz częściej oczekują DNSSEC jako bazy (jest wymieniony w regulacjach jak NIS2); jego brak po cichu dyskwalifikuje Cię z przetargów, zanim rozmowa się zacznie.

Dlaczego to ma znaczenie. DNS to książka adresowa internetu, a domyślnie jej odpowiedzi wędrują niepodpisane — każdy, kto zdoła wcisnąć sfałszowaną odpowiedź, może wysłać Twoich klientów i Twój e-mail, gdzie tylko zechce, z Twoją prawdziwą domeną wciąż widoczną w przeglądarce. DNSSEC nakłada na te odpowiedzi pieczęć odporną na manipulację, by dało się je zweryfikować jako naprawdę Twoje. Poprawka jest darmowa u większości dostawców; jedyny realny koszt to zrobienie jej źle, dlatego starannie przeprowadzamy przez obie połowy.

DNSSEC, po ludzku

Za każdym razem, gdy ktoś odwiedza Twoją witrynę lub wysyła Ci e-mail, jego komputer najpierw zadaje internetowi proste pytanie: „gdzie faktycznie mieszka ta domena?”. Odpowiedź — zestaw adresów Twojej witryny i serwerów pocztowych — wraca z DNS, książki adresowej internetu.

Oto niewygodna część: domyślnie te odpowiedzi wędrują niepodpisane. Nie ma niczego dołączonego, co dowodzi, że odpowiedź jest prawdziwa. Jeśli ktoś zdoła wcisnąć sfałszowaną odpowiedź do tej rozmowy — a istnieją dobrze znane, sprawdzone sposoby, by zrobić dokładnie to — komputer Twojego odwiedzającego chętnie ją przyjmie. Od tej chwili odwiedzający może rozmawiać z serwerem atakującego, podczas gdy jego przeglądarka wciąż pokazuje Twoją nazwę domeny w pasku adresu.

DNSSEC to poprawka. Dodaje odporną na manipulację cyfrową pieczęć do Twoich odpowiedzi DNS. Z włączonym DNSSEC internet może matematycznie zweryfikować, że odpowiedź naprawdę pochodzi od Ciebie i nie została po drodze zmieniona. Sfałszowana odpowiedź nie przechodzi sprawdzenia i jest odrzucana. To różnica między książką adresową, w której każdy może bazgrać, a taką, gdzie każdy wpis jest podpisany i poświadczony.

Ta strona obejmuje dwie części, którym nasz test przygląda się razem: czy pieczęć jest opublikowana (rekord DS) i czy pasujący klucz za nią faktycznie istnieje (rekord DNSKEY). Zaraz zobaczysz, dlaczego oba się liczą — bo posiadanie jednego bez drugiego to własny rodzaj kłopotu.

Co to może Cię kosztować

To realistyczne, zbiorcze wzorce — nie jedna konkretna firma.

• Niewidoczne przekierowanie. Atakujący zatruwa odpowiedź DNS dla Twojej domeny. Klienci wpisują Twój prawdziwy adres WWW, widzą Twoją prawdziwą domenę w pasku i lądują na nieskazitelnej kopii Twojej strony logowania lub kasy hostowanej przez atakującego. Każde hasło i numer karty, jakie wpiszą, trafia prosto do przestępcy. Słyszysz o tym dopiero, gdy zaczynają się obciążenia zwrotne i telefony „zostałem zhakowany przez twoją stronę” — a trop prowadzi do Twojej marki, nie atakującego.
• Ciche przechwytywanie poczty. DNS wskazuje nie tylko Twoją witrynę; wskazuje Twoje serwery pocztowe. Sfałszuj tę odpowiedź, a przychodzący e-mail można przekierować najpierw przez atakującego. Czyta wrażliwe wiadomości, zbiera jednorazowe kody, które usługi wysyłają e-mailem, by „potwierdzić, że to Ty”, i resetuje hasła na kontach powiązanych z Twoją domeną — wszystko bez logowania się kiedykolwiek do Twojej skrzynki.
• Awaria, której nie potrafisz odtworzyć. Ta bierze się z niedokończonej konfiguracji DNSSEC. Publiczna pieczęć (DS) siedzi u Twojego rejestratora, ale pasujący klucz (DNSKEY) jest nieobecny lub błędny. Odwiedzający u dostawców internetu i w sieciach firmowych, które sprawdzają DNSSEC — a co roku jest ich więcej — po prostu w ogóle nie mogą rozwiązać Twojej domeny. Twoja witryna i e-mail działają dobrze u Ciebie i Twojego technika, ale ułamek prawdziwych klientów dostaje „nie można połączyć się z tą witryną” bez żadnego widocznego błędu. To jeden z najtrudniejszych problemów do zdiagnozowania właśnie dlatego, że od wewnątrz jest niewidoczny.
• Utracona transakcja. Zespół bezpieczeństwa lub zakupów potencjalnego klienta robi rutynowy skan Twojej domeny przed kontraktem. Brak DNSSEC pojawia się jako czerwony znak przy „podstawach bezpieczeństwa DNS”. Dla darmowego, dobrze poznanego mechanizmu jego brak czyta się jako niedbałość — i może po cichu kosztować Cię kontrakt, o którego zagrożeniu nigdy nie wiedziałeś.
• Przetarg, do którego nawet się nie kwalifikujesz. Regulacje i listy kontrolne kupujących coraz częściej nazywają DNSSEC oczekiwaną bazową higieną (jest przywoływany w przepisach NIS2 o bezpieczeństwie DNS). Więksi nabywcy B2B i z sektora publicznego mogą odfiltrować Cię, zanim rozmowa sprzedażowa się zacznie, po prostu dlatego, że pole nie jest odhaczone.

Czym to właściwie jest

DNSSEC działa jako łańcuch zaufania i ma dwie ruchome części, które muszą się ze sobą zgadzać. To sedno tego, dlaczego nasz test przygląda się dwóm rzeczom.

DNSKEY — Twój klucz. Twój dostawca DNS trzyma klucz kryptograficzny i używa go, by podpisywać Twoje rekordy DNS. Publiczna połowa tego klucza jest publikowana jako rekord DNSKEY. Pomyśl o nim jak o stemplu pieczęci trzymanym po Twojej stronie.

Rekord DS — odcisk palca, który poręcza za klucz. Krótki odcisk palca tego klucza, zwany rekordem DS (Delegation Signer), jest publikowany poziom wyżej — w rejestrze Twojej domeny, za pośrednictwem rejestratora. To właśnie pozwala reszcie internetu zaufać Twojemu kluczowi: każdy poziom poręcza za ten poniżej, aż do korzenia internetu. DS to pieczęć oficjalnie zarejestrowana, by wszyscy inni mogli ją rozpoznać.

By DNSSEC faktycznie Cię chronił, oba muszą być obecne i muszą pasować:

• DS obecny + DNSKEY obecny i pasujący → dobrze. Łańcuch zaufania jest kompletny. Sfałszowane odpowiedzi są odrzucane; legalne się weryfikują. To stan „zaliczony”.
• Brak DS (i brak DNSKEY) → DNSSEC po prostu nie jest włączony. Nie masz ochrony, ale nic nie jest zepsute. To najczęstszy stan „jeszcze niezrobione”. (W naszej punktacji to tu test DS liczy się przeciw Tobie; test połączonego klucza traktuje czysty, w pełni wyłączony stan jako informacyjny, a nie twarde niezaliczenie, bo nic aktywnie się nie psuje.)
• DS obecny, ale DNSKEY nieobecny lub niezgodny → zepsute i gorsze niż wyłączone. Internet widzi opublikowaną pieczęć wskazującą na klucz, którego nie ma. Weryfikujące resolwery wnioskują, że Twoja domena została zmanipulowana, i odmawiają jej rozwiązania — powodując przerywane awarie opisane powyżej. To najpilniejszy stan do naprawy, a nasz test oznacza go jako wysoką wagę.
• DNSKEY obecny, ale brak DS u rejestratora → włączone, lecz nieaktywowane. Twoje rekordy są podpisane, ale ponieważ odcisk palca nigdy nie został zarejestrowany poziom wyżej, reszta internetu nie ma jak im zaufać. Masz pracę bez ochrony. Poprawka to dodanie rekordu DS u rejestratora.

Jak wygląda dobry stan, w jednej linii: rekord DS u Twojego rejestratora, którego odcisk palca pasuje do żywego DNSKEY u Twojego dostawcy DNS, oba potwierdzone szybkim sprawdzeniem.

Jak to naprawić (darmowo, ~10–30 minut)

Przekaż tę sekcję osobie zarządzającej Twoją domeną lub witryną. Sama poprawka jest darmowa u większości dostawców — jedyny koszt to zrobienie jej ostrożnie, by obie połowy pozostały w synchronizacji. Pobieramy opłatę tylko, jeśli później zechcesz, byśmy monitorowali, czy pozostaje poprawnie włączona.

Złota zasada: najpierw włącz podpisywanie (co tworzy DNSKEY), potem opublikuj rekord DS u rejestratora — nigdy odwrotnie i nigdy jedno bez drugiego. Opublikowanie DS, zanim klucz istnieje, to dokładnie to, co powoduje awarie.

Prosta ścieżka (zalecana — Cloudflare):

1. W Cloudflare upewnij się, że Cloudflare faktycznie prowadzi Twój DNS (Twoje serwery nazw wskazują na Cloudflare).
2. Przejdź do DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare generuje klucze i zarządza nimi za Ciebie (to tworzy stronę DNSKEY automatycznie).
3. Cloudflare pokazuje Ci szczegóły rekordu DS do opublikowania u rejestratora.
4. Zaloguj się do rejestratora domeny (np. GoDaddy, Namecheap, OVH) i znajdź sekcję DNSSEC. Wklej wartości DS, które dał Ci Cloudflare.
5. Poczekaj 24–48 godzin na pełną propagację. Twoja witryna i e-mail działają przez cały czas.

Inni dostawcy DNS (AWS Route 53, Twój host WWW itp.):

1. W panelu sterowania dostawcy DNS włącz DNSSEC / „podpisz tę strefę”. To generuje klucze podpisujące i publikuje rekordy DNSKEY.
2. Skopiuj rekord DS, który tworzy dostawca.
3. Dodaj ten rekord DS u rejestratora w jego ustawieniach DNSSEC.
4. Potwierdź, że rejestrator go przyjął, i poczekaj na propagację.

Uwagi do platform:

• Cloudflare — włączenie jednym kliknięciem, potem jedno wklejenie DS u rejestratora. Zdecydowanie najłatwiejsza droga.
• AWS Route 53 — włącz podpisywanie DNSSEC w strefie hostowanej, potem dodaj rekord DS u rejestratora domeny (jeśli domena jest zarejestrowana w Route 53, AWS może powiązać to za Ciebie).
• Microsoft 365 / Google Workspace — obsługują Twój e-mail, zwykle nie Twoją strefę DNS. DNSSEC włącza się tam, gdzie faktycznie żyją rekordy DNS (często rejestrator, host lub Cloudflare), nie w centrum administracyjnym 365/Workspace.
• Twój dostawca DNS w ogóle nie wspiera DNSSEC? To częste przy starszych lub budżetowych hostach. Czysta poprawka to przeniesienie zarządzania DNS do dostawcy, który go wspiera (Cloudflare jest darmowy), a potem podążanie prostą ścieżką powyżej. Przeniesienie DNS nie wymaga przenoszenia Twojej witryny ani e-maila.

Zweryfikuj, że zadziałało:

• Uruchom dig DS twojadomena.pl i dig DNSKEY twojadomena.pl — oba powinny zwrócić rekordy.
• Albo użyj dowolnego darmowego sprawdzacza DNSSEC online i potwierdź zielony/ważny łańcuch zaufania.
• Nie uznawaj za zrobione, dopóki oba nie zwrócą pasujących rekordów. DS bez DNSKEY to stan zepsuty — napraw go lub usuń natychmiast.

Częste błędy

• Publikowanie DS, zanim klucz istnieje. Najbardziej szkodliwy błąd: dodanie rekordu DS u rejestratora, zanim podpisywanie jest faktycznie aktywne u dostawcy DNS. Tworzy to stan „opublikowana pieczęć, brakujący klucz”, który czyni Twoją domenę nierozwiązywalną dla odwiedzających sprawdzających DNSSEC. Zawsze najpierw włącz podpisywanie, potem opublikuj DS.
• Pozostawienie nieaktualnego DS po zmianie dostawcy. Jeśli migrujesz dostawców DNS (lub wyłączasz podpisywanie), lecz zapomnisz usunąć albo zaktualizować stary rekord DS u rejestratora, zostajesz ze wskazaniem na klucz, który już nie istnieje — ten sam zepsuty skutek. Gdy wyłączasz DNSSEC lub go przenosisz, zaktualizuj DS u rejestratora w tej samej zmianie.
• Zatrzymanie się po pierwszym kroku. Włączenie podpisywania u dostawcy DNS (utworzenie DNSKEY), lecz nigdy dodanie DS u rejestratora. Wszystko wygląda na „włączone” w panelu DNS, ale bez DS ochrona nigdy się nie aktywuje. Wykonałeś pracę i nie masz z niej żadnej korzyści.
• Zakładanie, że HTTPS lub uwierzytelnianie poczty już to pokrywa. Kłódka i uwierzytelnianie poczty (SPF / DKIM / DMARC) są cenne, ale rozwiązują inne problemy. Żadne z nich nie powstrzymuje sfałszowanej odpowiedzi DNS przed wysłaniem odwiedzających w niewłaściwe miejsce na samym początku.
• Brak monitorowania po włączeniu. Klucze są rolowane, dostawcy się zmieniają, rekordy są edytowane. Konfiguracja idealna dziś może po cichu zepsuć się za kilka miesięcy. Jeśli DNSSEC jest na tyle ważny, by go włączyć, warto okresowo sprawdzać, czy nadal jest ważny.

Gdzie to mieści się w Twojej ocenie

Oba te testy liczą się do Twojego wyniku Bezpieczeństwa DNS. Test rekordu DS jest traktowany jako wyższy priorytet z dwóch: brakujący DS to prawdziwa luka i jest punktowany jako niezaliczenie. Test DNSKEY potwierdza, że reszta łańcucha jest nienaruszona — zalicza tylko, gdy obecne są pasujący DS i DNSKEY, i oznacza niebezpieczny zepsuty stan „DS bez klucza” jako wysoką wagę. Czysty wynik „DNSSEC po prostu nie jest jeszcze włączony” to częsty punkt startowy wielu firm; przejście stamtąd do kompletnej, pasującej pary DS + DNSKEY to darmowe, dobrze poznane ulepszenie, które poprawia Twoją pozycję w Bezpieczeństwie DNS i usuwa prawdziwą drogę do podszywania się i przechwytywania.

Skonfiguruj to u swojego dostawcy

Krok po kroku dla popularnych dostawców:

• Skonfiguruj DNSSEC u dostawcy GoDaddy
• Skonfiguruj DNSSEC u dostawcy Namecheap
• Skonfiguruj DNSSEC u dostawcy Cloudflare
• Skonfiguruj DNSSEC u dostawcy AWS Route 53

Najczęstsze pytania