Defaults.Exposed › Opravy › DNSSEC

Ako opraviť DNSSEC

DNSSEC je digitálna pečať na adresári vašej domény. Umožňuje internetu dokázať, že odpoveď na otázku 'kde táto doména žije?' skutočne pochádza od vás a nebola po ceste sfalšovaná. Bez nej môže byť odpoveď sfalšovaná — a vaši návštevníci ticho poslaní niekam inam.

Podstata pre vaše podnikanie: Bez DNSSEC útočník, ktorý môže otráviť DNS odpoveď, môže nasmerovať vašich zákazníkov na dokonalú kópiu vašej stránky, pričom ich prehliadač stále zobrazuje váš skutočný názov domény. Prihlasovacie údaje, čísla kariet a osobné dáta sú zbierané a vy sa dozviete len z vrátení a sťažností. Nesprávne napoly dokončené DNSSEC nastavenie je ešte horšie: môže spraviť vašu stránku nedostupnou pre rastúcu časť návštevníkov bez chyby, ktorú by ste niekedy zaznamenali.

Čo vás to môže stáť

• Návštevníci píšuci vašu skutočnú doménu sú ticho presmerovaní na kópiu, ktorá zachytáva ich heslo a platobné údaje — a pretože adresný riadok zobrazuje vašu doménu celý čas, nikto nič nepodozrieva, kým neprídu správy o podvode.
• Váš e-mail je ticho presmerovaný: útočník sfalšuje odpoveď pre vaše mailové servery, číta alebo zachytáva správy a resetuje heslá na účtoch, ktoré vám e-mailujú kód — všetko bez dotknutia sa vašej doručenej pošty.
• Napoly nakonfigurované DNSSEC nastavenie (verejná pečať existuje, ale zodpovedajúci kľúč chýba) spôsobuje, že váš web a e-mail náhodne zlyhávajú pre zákazníkov na veľkých ISP a firemných sieťach — prerušované správy 'vaša stránka je pre mňa nefunkčná', ktoré nemôžete reprodukovať.
• IT tím potenciálneho zákazníka spustí pred-zmluvnú kontrolu, nevidí DNSSEC a označí vás ako slabého v základoch — ohrozujúc obchod kvôli bezplatnému nastaveniu.
• Verejný sektor a väčší B2B kupujúci čoraz viac očakávajú DNSSEC ako základ (je pomenovaný v reguláciách ako NIS2); jeho absencia vás ticho diskvalifikuje z výberových konaní skôr, než sa začne konverzácia.

Prečo na tom záleží. DNS je adresár internetu a predvolene jeho odpovede cestujú nepodpísané — ktokoľvek, kto môže vkĺznuť do sfalšovanej odpovede, môže poslať vašich zákazníkov a váš e-mail kamkoľvek chce, pričom vaša skutočná doména stále svieti v prehliadači. DNSSEC dáva na tieto odpovede nefalzifikovateľnú pečať, aby mohli byť overené ako skutočne vaše. Oprava je zadarmo u väčšiny poskytovateľov; jediné skutočné náklady sú urobiť to nesprávne, čo je dôvod, prečo oba kúsky starostlivo prechádzame.

DNSSEC, v jednoduchých slovách

Zakaždým, keď niekto navštívi váš web alebo vám pošle e-mail, ich počítač sa najprv pýta internetu jednoduchú otázku: “kde táto doména skutočne žije?” Odpoveď — sada adries pre vašu stránku a vaše mailové servery — prichádza späť z DNS, adresára internetu.

Tu je nepríjemná časť: predvolene tieto odpovede cestujú nepodpísané. Nie je nič priložené, aby dokázalo, že odpoveď je skutočná. Ak niekto môže vkĺznuť sfalšovanú odpoveď do tej konverzácie — a existujú dobre známe, overené spôsoby, ako to urobiť presne — počítač vášho návštevníka to ochotne akceptuje. Od toho momentu môže návštevník hovoriť so serverom útočníka, pričom ich prehliadač stále zobrazuje vašu doménu v adresnom riadku.

DNSSEC je oprava. Pridáva nefalzifikovateľnú digitálnu pečať na vaše DNS odpovede. Keď je DNSSEC zapnuté, internet môže matematicky overiť, že odpoveď skutočne pochádza od vás a nebola po ceste zmenená. Sfalšovaná odpoveď neuspeje v kontrole a je zahodená. Je to rozdiel medzi adresárom, do ktorého môže ktokoľvek čmárať, a tým, kde je každá položka podpísaná a osvedčená.

Táto stránka pokrýva dve časti, ktoré naša kontrola skúma spoločne: či je pečať publikovaná (DS záznam) a či zodpovedajúci kľúč za ňou skutočne existuje (DNSKEY záznam). Čoskoro uvidíte, prečo oba záležia — pretože mať jeden bez druhého je jeho vlastný druh problému.

Čo vás to môže stáť

• Neviditeľné presmerovanie. Útočník otrávi DNS odpoveď pre vašu doménu. Zákazníci napíšu vašu skutočnú webovú adresu, vidia vašu skutočnú doménu v lište a pristanú na bezchybnej kópii vašej prihlasovacej alebo pokladňovej stránky hostenej útočníkom. Každé heslo a číslo karty, ktoré zadajú, ide priamo zločincovi. Počujete o tom len keď začnú vrátenia a volajúci “bol som hacknutý cez vašu stránku” — a stopa vedie späť k vašej značke, nie útočníkovi.
• Tiché zachytávanie e-mailu. DNS neukazuje len na váš web; ukazuje na vaše mailové servery. Sfalšujte túto odpoveď a prichádzajúci e-mail môže byť presmerovaný cez útočníka ako prvý. Čítajú citlivé správy, zbierajú jednorazové kódy, ktoré vám služby e-mailujú “overte, že ste to vy”, a resetujú heslá na účtoch viazaných na vašu doménu — všetko bez prihlásenia do vašej doručenej pošty.
• Výpadok, ktorý nemôžete reprodukovať. Tento prichádza z napoly dokončeného DNSSEC nastavenia. Verejná pečať (DS) sedí u vášho registrátora, ale zodpovedajúci kľúč (DNSKEY) chýba alebo je nesprávny. Návštevníci na ISP a firemných sieťach, ktoré kontrolujú DNSSEC — a každým rokom je ich viac — jednoducho nemôžu vôbec rozlíšiť vašu doménu. Vaša stránka a e-mail fungujú perfektne pre vás, ale časť skutočných zákazníkov dostane “táto stránka nie je dostupná” bez chyby, ktorú môžete vidieť. Je to jeden z najťažších problémov na diagnostiku práve preto, že je zvnútra neviditeľný.
• Stratený obchod. Potenciálny zákazníkov bezpečnostný alebo obstarávací tím spustí rutinný pred-zmluvný sken vašej domény. Žiadne DNSSEC sa zobrazí ako červená škvrna na “základoch bezpečnosti DNS.” Pre bezplatný, dobre pochopený ovládací prvok jeho absencia vyzerá ako nedbalosť — a môže vás ticho stáť zmluvu, o ktorej ste nikdy nevedeli, že ste ju ohrozili.
• Výberové konanie, na ktoré sa ani nekvalifikujete. Regulácie a kontrolné zoznamy kupujúcich čoraz viac uvádzajú DNSSEC ako očakávanú základnú hygienu (je odkazovaný v ustanoveniach DNS-bezpečnosti NIS2). Väčší B2B a verejný sektor kupujúci vás môžu vyradiť pred predajnou konverzáciou, jednoducho preto, že políčko nie je zaškrtnuté.

Čo to v skutočnosti je

DNSSEC funguje ako reťazec dôvery a má dve pohyblivé časti, ktoré si musia navzájom zodpovedať. Toto je jadro toho, prečo naša kontrola skúma dve veci.

DNSKEY — váš kľúč. Váš DNS poskytovateľ drží kryptografický kľúč a používa ho na podpisovanie vašich DNS záznamov. Verejná polovica tohto kľúča je publikovaná ako DNSKEY záznam. Predstavte si to ako pečiatku drženú na vašej strane.

DS záznam — odtlačok prsta, ktorý zaručuje za kľúč. Krátky odtlačok prsta tohto kľúča, nazývaný DS (Delegation Signer) záznam, je publikovaný o úroveň vyššie — v registri vašej domény, cez vášho registrátora. Toto je to, čo umožňuje zvyšku internetu dôverovať vášmu kľúču: každá úroveň zaručuje za tú nižšie, až po koreň internetu.

Aby DNSSEC skutočne chránilo vás, oba musia byť prítomné a musia sa zhodovať:

• DS prítomný + DNSKEY prítomný a zodpovedajúci → dobré. Reťazec dôvery je kompletný.
• Žiadny DS (a žiadny DNSKEY) → DNSSEC jednoducho nie je zapnuté. Nemáte žiadnu ochranu, ale nič nie je poškodené. Toto je najčastejší stav “ešte nie je hotové”.
• DS prítomný, ale DNSKEY chýba alebo sa nezhoduje → poškodené, a horšie ako vypnuté. Internet vidí publikovanú pečať, ktorá ukazuje na kľúč, ktorý tam nie je. Validujúce resolvery uzaveria, že vaša doména bola sfalšovaná a odmietnu rozlíšiť ju — spôsobujúc prerušované výpadky opísané vyššie. Toto je najurgentnejší stav na opravenie a naša kontrola ho označuje ako vysokú závažnosť.
• DNSKEY prítomný, ale žiadny DS u registrátora → zapnuté, ale neaktivované. Vaše záznamy sú podpísané, ale pretože odtlačok prsta nebol nikdy zaregistrovaný o úroveň vyššie, zvyšok internetu nemá žiadny spôsob, ako im dôverovať. Dostanete prácu bez ochrany.

Ako vyzerá ‘dobré’, v jednej vete: DS záznam u vášho registrátora, ktorého odtlačok prsta zodpovedá živému DNSKEY u vášho DNS poskytovateľa, oboje potvrdené rýchlym vyhľadávaním.

Ako to opraviť (zadarmo, ~10–30 minút)

Odovzdajte túto sekciu tomu, kto spravuje vašu doménu alebo web. Samotná oprava je zadarmo u väčšiny poskytovateľov — jediné náklady sú urobiť to starostlivo, aby oba kúsky zostali synchronizované.

Zlaté pravidlo: najprv povolte podpisovanie (čo vytvorí DNSKEY), potom publikujte DS záznam u registrátora — nikdy naopak a nikdy jedno bez druhého. Publikovanie DS pred existenciou kľúča je presne to, čo spôsobuje výpadky.

Jednoduchá cesta (odporúčaná — Cloudflare):

1. V Cloudflare sa uistite, že Cloudflare skutočne prevádzkuje váš DNS (vaše nameservery ukazujú na Cloudflare).
2. Choďte na DNS → Nastavenia → DNSSEC → Povoliť DNSSEC. Cloudflare generuje a spravuje kľúče za vás (toto automaticky vytvorí stranu DNSKEY).
3. Cloudflare vám zobrazí DS záznam detaily na publikovanie u vášho registrátora.
4. Prihláste sa k vášmu registrátorovi domény a nájdite sekciu DNSSEC. Vložte DS hodnoty, ktoré vám Cloudflare dal.
5. Počkajte 24–48 hodín na plné rozšírenie. Vaša stránka a e-mail fungujú počas celého procesu.

Iní DNS poskytovatelia (AWS Route 53, váš webový host atď.):

1. V ovládacom paneli vášho DNS poskytovateľa povoľte DNSSEC / “podpísať túto zónu.” Toto generuje podpisovacie kľúče a publikuje DNSKEY záznamy.
2. Skopírujte DS záznam, ktorý poskytovateľ produkuje.
3. Pridajte tento DS záznam u vášho registrátora pod jeho DNSSEC nastaveniami.
4. Potvrďte, že registrátor to akceptoval a počkajte na propagáciu.

Overenie, že to fungovalo:

• Spustite dig DS vasadomena.com a dig DNSKEY vasadomena.com — oboje by malo vrátiť záznamy.
• Alebo použite akýkoľvek bezplatný online DNSSEC checker a potvrďte zelený/platný reťazec dôvery.
• Nepovažujte to za hotové, kým oboje nevrátia zodpovedajúce záznamy. DS bez DNSKEY je poškodený stav — okamžite ho opravte alebo odstráňte.

Bežné chyby

• Publikovanie DS pred existenciou kľúča. Jediná najpoškodzujúcejšia chyba: pridanie DS záznamu u registrátora predtým, než je podpisovanie skutočne živé u DNS poskytovateľa. Toto vytvára stav “publikovaná pečať, chýbajúci kľúč”, ktorý robí vašu doménu nerozlíšiteľnou pre návštevníkov kontrolujúcich DNSSEC. Vždy najprv povolte podpisovanie, potom publikujte DS.
• Zanechanie zastaraného DS za sebou po prepnutí poskytovateľov. Ak migrujete DNS poskytovateľov (alebo zakážete podpisovanie), ale zabudnete odstrániť alebo aktualizovať starý DS záznam u registrátora, zostanete ukazovať na kľúč, ktorý viac neexistuje — rovnaký poškodený výsledok. Keď DNSSEC vypnete alebo presuniete, aktualizujte DS u registrátora v rovnakej zmene.
• Zastavenie po prvom kroku. Povolenie podpisovania u DNS poskytovateľa (vytvorenie DNSKEY), ale nikdy nepridanie DS u registrátora. Všetko vyzerá “zapnuté” v ovládacom paneli DNS, ale bez DS sa ochrana nikdy neaktivuje.
• Predpokladanie, že HTTPS alebo autentifikácia e-mailu to už pokrýva. Zámok a autentifikácia e-mailu (SPF / DKIM / DMARC) sú cenné, ale riešia odlišné problémy. Žiadny z nich nezastaví sfalšovanú DNS odpoveď od posielania návštevníkov na nesprávne miesto na prvom mieste.
• Nemonitorovanie po povolení. Kľúče sa otáčajú, poskytovatelia sa menia, záznamy sa upravujú. Nastavenie, ktoré je dnes perfektné, môže ticho zlyhať mesiace neskôr.

Kde to sedí vo vašom hodnotení

Obe tieto kontroly sa počítajú k vášmu DNS Security skóre. Kontrola DS záznamu je považovaná za prioritnejšiu z dvoch: chýbajúci DS je skutočná medzera a je hodnotená ako zlyhanie. Kontrola DNSKEY potvrdzuje, že zvyšok reťazca je neporušený — prejde len keď zodpovedajúce DS a DNSKEY sú oba prítomné a označuje nebezpečný stav “DS-bez-kľúča” ako vysokú závažnosť.

Nastavte to u svojho hostiteľa

Krok za krokom pre populárnych poskytovateľov:

• Nastavte DNSSEC na GoDaddy
• Nastavte DNSSEC na Namecheap
• Nastavte DNSSEC na Cloudflare
• Nastavte DNSSEC na AWS Route 53

FAQ