Defaults.Exposed › Исправления › DNSSEC

Как исправить DNSSEC

DNSSEC — это цифровая печать на адресной книге вашего домена. Она позволяет интернету доказать, что ответ на вопрос «где живёт этот домен?» действительно пришёл от вас и не был подменён по пути. Без неё ответ можно подделать — и ваших посетителей тихо отправят в другое место.

Главное для вашего бизнеса: Без DNSSEC злоумышленник, способный отравить ответ DNS, может направить ваших клиентов на идеальную копию вашего сайта, пока их браузер всё ещё показывает ваше настоящее доменное имя. Логины, номера карт и персональные данные собираются, а вы узнаёте об этом по возвратам платежей и жалобам. Сломанная, наполовину завершённая настройка DNSSEC ещё хуже: она может сделать ваш сайт недоступным для растущей доли посетителей без ошибки, которую вы бы вообще заметили.

Во что это может вам обойтись

• Посетителей, набирающих ваш настоящий домен, тихо перенаправляют на двойника, который захватывает их пароль и данные карты — и поскольку адресная строка всё время показывает ваш домен, никто ничего не подозревает, пока не придут заявления о мошенничестве.
• Вашу почту тихо перенаправляют: злоумышленник подделывает ответ о ваших почтовых серверах, читает или перехватывает сообщения и сбрасывает пароли в аккаунтах, которые присылают вам код на email, — всё это не трогая ваш ящик.
• Наполовину настроенный DNSSEC (публичная печать есть, а соответствующий ключ отсутствует) заставляет ваш сайт и почту случайным образом отказывать для клиентов на крупных провайдерах и в корпоративных сетях — перемежающиеся жалобы «у меня ваш сайт не открывается», которые вы не можете воспроизвести.
• Служба безопасности потенциального клиента делает предконтрактную проверку, не видит DNSSEC и помечает вас как слабых в фундаментальных вещах — ставя сделку под угрозу из-за бесплатной настройки.
• Госсектор и крупные B2B-покупатели всё чаще ожидают DNSSEC как базовый минимум (он назван в регламентах вроде NIS2); его отсутствие тихо дисквалифицирует вас из тендеров ещё до начала разговора.

Почему это важно. DNS — это адресная книга интернета, и по умолчанию её ответы путешествуют неподписанными: любой, кто способен вставить поддельный ответ, может отправить ваших клиентов и вашу почту куда угодно, при этом ваш настоящий домен всё ещё показывается в браузере. DNSSEC ставит на эти ответы защищённую от подделки печать, чтобы их можно было проверить как подлинно ваши. Исправление бесплатно у большинства провайдеров; единственная реальная цена — сделать это неправильно, поэтому мы аккуратно разбираем обе половины.

DNSSEC, простыми словами

Каждый раз, когда кто-то заходит на ваш сайт или отправляет вам письмо, его компьютер сперва задаёт интернету простой вопрос: «где на самом деле живёт этот домен?» Ответ — набор адресов вашего сайта и почтовых серверов — приходит из DNS, адресной книги интернета.

Вот неприятная часть: по умолчанию эти ответы путешествуют неподписанными. К ним не приложено ничего, что доказывало бы подлинность ответа. Если кто-то может вставить поддельный ответ в этот разговор — а есть хорошо известные, доказанные способы сделать именно это, — компьютер вашего посетителя с радостью его примет. С этого момента посетитель может разговаривать с сервером злоумышленника, пока браузер всё ещё показывает ваше доменное имя в адресной строке.

DNSSEC — это исправление. Он добавляет защищённую от подделки цифровую печать к вашим ответам DNS. Когда DNSSEC включён, интернет может математически проверить, что ответ действительно пришёл от вас и не был изменён по пути. Поддельный ответ не проходит проверку и выбрасывается. Это разница между адресной книгой, в которую может черкнуть кто угодно, и книгой, где каждая запись подписана и засвидетельствована.

Эта страница покрывает две части, которые наша проверка смотрит вместе: опубликована ли печать (запись DS) и существует ли реально стоящий за ней совпадающий ключ (запись DNSKEY). Почему важны обе, вы увидите дальше — потому что иметь одно без другого — это сама по себе беда.

Во что это может вам обойтись

Это реалистичные, обобщённые шаблоны — не какой-то один названный бизнес.

• Невидимое перенаправление. Злоумышленник отравляет ответ DNS для вашего домена. Клиенты набирают ваш настоящий веб-адрес, видят ваш настоящий домен в строке и попадают на безупречную копию вашей страницы входа или оформления заказа, размещённую злоумышленником. Каждый введённый ими пароль и номер карты уходит прямиком преступнику. Вы слышите об этом, только когда начинаются возвраты платежей и звонки «меня взломали через ваш сайт» — и след ведёт к вашему бренду, а не к злоумышленнику.
• Тихий перехват почты. DNS указывает не только на сайт; он указывает на ваши почтовые серверы. Подделайте этот ответ — и входящая почта может пойти сначала через злоумышленника. Он читает чувствительные сообщения, собирает одноразовые коды, которые сервисы шлют для «подтверждения, что это вы», и сбрасывает пароли в аккаунтах, привязанных к вашему домену, — никогда не заходя в ваш почтовый ящик.
• Сбой, который не воспроизвести. Этот идёт от наполовину завершённой настройки DNSSEC. Публичная печать (DS) стоит у регистратора, но совпадающий ключ (DNSKEY) отсутствует или неверен. Посетители на провайдерах и в корпоративных сетях, проверяющих DNSSEC — а таких всё больше с каждым годом, — попросту не могут разрешить ваш домен вообще. Ваш сайт и почта прекрасно работают у вас и у ваших техников, но часть реальных клиентов получает «этот сайт недоступен» без видимой вам ошибки. Это одна из труднейших проблем для диагностики именно потому, что изнутри она невидима.
• Потерянная сделка. Служба безопасности или закупок потенциального клиента делает рутинный предконтрактный скан вашего домена. Отсутствие DNSSEC всплывает красной отметкой в «основах безопасности DNS». Для бесплатного, хорошо изученного механизма его отсутствие читается как небрежность — и может тихо стоить вам контракта, о риске для которого вы и не знали.
• Тендер, до которого вы даже не доходите. Регламенты и чек-листы покупателей всё чаще называют DNSSEC ожидаемой базовой гигиеной (он упомянут под положениями NIS2 о безопасности DNS). Крупные B2B- и госпокупатели могут отсеять вас ещё до начала разговора о продаже просто потому, что галочка не поставлена.

Что это на самом деле

DNSSEC работает как цепочка доверия, и у неё две движущиеся части, которые должны согласовываться друг с другом. В этом суть того, почему наша проверка смотрит на две вещи.

DNSKEY — ваш ключ. Ваш DNS-провайдер держит криптографический ключ и использует его, чтобы подписывать ваши записи DNS. Публичная половина этого ключа публикуется как запись DNSKEY. Думайте об этом как о штампе-печати, который держат на вашей стороне.

Запись DS — отпечаток, который ручается за ключ. Короткий отпечаток этого ключа, называемый записью DS (Delegation Signer), публикуется уровнем выше — в реестре вашего домена, через вашего регистратора. Именно это позволяет остальному интернету доверять вашему ключу: каждый уровень ручается за нижестоящий, вплоть до корня интернета. DS — это печать, официально регистрируемая, чтобы все остальные могли её распознать.

Чтобы DNSSEC реально вас защищал, оба должны присутствовать и совпадать:

• DS есть + DNSKEY есть и совпадает → хорошо. Цепочка доверия полна. Поддельные ответы отвергаются; законные проверяются. Это состояние «прохождения».
• Нет DS (и нет DNSKEY) → DNSSEC просто не включён. У вас нет защиты, но ничего не сломано. Это самое распространённое состояние «ещё не сделано». (В нашей оценке именно здесь проверка DS идёт против вас; совмещённая проверка ключа трактует чистое, полностью «выключенное» состояние как информационное, а не как жёсткий провал, потому что ничто активно не ломается.)
• DS есть, но DNSKEY отсутствует или не совпадает → сломано, и хуже, чем выключено. Интернет видит опубликованную печать, указывающую на ключ, которого нет. Проверяющие резолверы делают вывод, что ваш домен подменён, и отказываются его разрешать — вызывая перемежающиеся сбои, описанные выше. Это самое срочное состояние для исправления, и наша проверка помечает его высокой серьёзностью.
• DNSKEY есть, но нет DS у регистратора → включено, но не активировано. Ваши записи подписаны, но поскольку отпечаток так и не зарегистрирован уровнем выше, у остального интернета нет способа им доверять. Работа сделана, защиты нет. Исправление — добавить запись DS у регистратора.

Как выглядит «хорошо», в одну строку: запись DS у вашего регистратора, отпечаток которой совпадает с живой DNSKEY у вашего DNS-провайдера, оба подтверждены быстрым поиском.

Как это исправить (бесплатно, ~10–30 минут)

Передайте этот раздел тому, кто управляет вашим доменом или сайтом. Само исправление бесплатно у большинства провайдеров — единственная цена в том, чтобы сделать его аккуратно, чтобы две половины оставались в синхроне. Мы берём оплату лишь если вы позже захотите, чтобы мы мониторили, что оно остаётся корректно включённым.

Золотое правило: сначала включите подписывание (что создаёт DNSKEY), затем опубликуйте запись DS у регистратора — никогда наоборот и никогда одно без другого. Публикация DS до того, как ключ существует, — это ровно то, что вызывает сбои.

Простой путь (рекомендуется — Cloudflare):

1. В Cloudflare убедитесь, что Cloudflare реально ведёт ваш DNS (ваши nameservers указывают на Cloudflare).
2. Перейдите в DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare генерирует и управляет ключами за вас (это автоматически создаёт сторону DNSKEY).
3. Cloudflare показывает вам детали записи DS для публикации у регистратора.
4. Войдите в вашего регистратора домена (например, GoDaddy, Namecheap, OVH) и найдите раздел DNSSEC. Вставьте значения DS, которые дал Cloudflare.
5. Подождите 24–48 часов полного расхождения. Ваш сайт и почта продолжают работать всё это время.

Другие DNS-провайдеры (AWS Route 53, ваш веб-хост и т. д.):

1. В панели управления вашего DNS-провайдера включите DNSSEC / «подписать эту зону». Это генерирует ключи подписи и публикует записи DNSKEY.
2. Скопируйте запись DS, которую выдаёт провайдер.
3. Добавьте эту запись DS у вашего регистратора в его настройках DNSSEC.
4. Подтвердите, что регистратор её принял, и дождитесь расхождения.

Заметки по платформам:

• Cloudflare — включение в один клик, затем одна вставка DS у регистратора. Самый простой путь на сегодня.
• AWS Route 53 — включите подписывание DNSSEC на размещённой зоне, затем добавьте запись DS у регистратора вашего домена (если домен зарегистрирован в Route 53, AWS может связать это за вас).
• Microsoft 365 / Google Workspace — они ведут вашу почту, обычно не зону DNS. DNSSEC включается там, где реально живут ваши записи DNS (часто ваш регистратор, хост или Cloudflare), а не в админ-центре 365/Workspace.
• Ваш DNS-провайдер вообще не поддерживает DNSSEC? Это распространено у старых или бюджетных хостов. Чистое исправление — перенести управление DNS к провайдеру, который поддерживает (Cloudflare бесплатен), затем следовать простому пути выше. Перенос DNS не требует переноса вашего сайта или почты.

Проверьте, что сработало:

• Запустите dig DS yourdomain.com и dig DNSKEY yourdomain.com — оба должны вернуть записи.
• Или используйте любой бесплатный онлайн-проверщик DNSSEC и подтвердите зелёную/действующую цепочку доверия.
• Не считайте сделанным, пока оба не вернут совпадающие записи. DS без DNSKEY — это сломанное состояние; исправьте или удалите его немедленно.

Частые ошибки

• Публикация DS до того, как ключ существует. Самая разрушительная ошибка: добавление записи DS у регистратора до того, как подписывание реально живо у DNS-провайдера. Это создаёт состояние «опубликованная печать, отсутствующий ключ», делающее ваш домен неразрешимым для проверяющих DNSSEC посетителей. Всегда сначала включайте подписывание, затем публикуйте DS.
• Оставление устаревшей DS после смены провайдеров. Если вы мигрируете DNS-провайдеров (или отключаете подписывание), но забываете удалить или обновить старую запись DS у регистратора, вы остаётесь указывать на ключ, которого больше нет, — тот же сломанный исход. Когда выключаете DNSSEC или переносите его, обновляйте DS у регистратора тем же изменением.
• Остановка после первого шага. Включение подписывания у DNS-провайдера (создание DNSKEY), но без добавления DS у регистратора. Всё выглядит «включённым» в панели DNS, но без DS защита никогда не активируется. Работу сделали, выгоды не получили.
• Уверенность, что HTTPS или аутентификация почты это уже покрывают. Замочек и аутентификация почты (SPF / DKIM / DMARC) ценны, но решают другие задачи. Ни один из них не мешает поддельному ответу DNS изначально отправить посетителей не туда.
• Отсутствие мониторинга после включения. Ключи перевыпускаются, провайдеры меняются, записи редактируются. Идеальная сегодня настройка может тихо сломаться спустя месяцы. Если DNSSEC важен достаточно, чтобы его включить, он достоин периодической проверки на действительность.

Где это в вашей оценке

Обе эти проверки идут в зачёт вашей оценки безопасности DNS. Проверка записи DS трактуется как более приоритетная из двух: отсутствие DS — это реальный пробел и оценивается как провал. Проверка DNSKEY подтверждает, что остаток цепочки цел — она проходит, только когда присутствуют и совпадающий DS, и DNSKEY, и помечает опасное сломанное состояние «DS-без-ключа» высокой серьёзностью. Чистый результат «DNSSEC просто ещё не включён» — распространённая отправная точка для многих бизнесов; переход оттуда к полной, совпадающей паре DS + DNSKEY — это бесплатное, хорошо изученное улучшение, которое повышает вашу позицию по безопасности DNS и убирает настоящий путь к подмене и перехвату.

Настройте это у своего хостинг-провайдера

Пошагово для популярных провайдеров:

• Настроить DNSSEC на GoDaddy
• Настроить DNSSEC на Namecheap
• Настроить DNSSEC на Cloudflare
• Настроить DNSSEC на AWS Route 53

Частые вопросы