Defaults.Exposed › Popravki › DNSSEC
Kako popraviti DNSSEC
DNSSEC je digitalni pečat na imeniku naslovov vaše domene. Internetu omogoča dokazati, da je odgovor na 'kje ta domena živi?' dejansko prišel od vas in ni bil spremenjen na poti. Brez njega je mogoče odgovor ponarediti — in vaši obiskovalci tiho poslani drugam.
Bistvo za vaše podjetje: Brez DNSSEC napadalec, ki zastrup DNS odgovor, lahko vaše stranke usmeri na popolno kopijo vaše strani, medtem ko njihov brskalnik še vedno prikazuje vaše pravo domensko ime. Prijavni podatki, številke kartic in osebni podatki se pobirajo, in za to izveste šele iz povratnih obremenitev in pritožb. Pokvarjena, napol zaključena nastavitev DNSSEC je še slabša: lahko naredi vašo stran nedostopno za rastoč del obiskovalcev brez napake, ki bi jo kdajkoli opazili.
Kaj vas to lahko stane
- Obiskovalci, ki tipkajo vašo pravo domeno, so tiho preusmerjeni na podobno videz, ki zbira njihova gesla in podatke kartice — in ker naslovni trak ves čas prikazuje vašo domeno, nihče ničesar ne sumi, dokler ne prispejo poročila o goljufijah.
- Vaša e-pošta je tiho preusmerjena: napadalec ponaredil odgovor za vaše poštne strežnike, bere ali prestreza sporočila in ponastavi gesla na računih, ki vam pošljejo kodo — vse brez dotikanja vaše mape prihoda.
- Napol nastavljeni DNSSEC (javni pečat obstaja, a ujemajoči se ključ manjka) naredi vaše spletno mesto in e-pošto naključno neuspešni za stranke pri velikih ponudnikih ISP in poslovnih omrežjih — intermitentna poročila 'vaša stran je za mene dol', ki jih ne morete reproducirati.
- Varnostna ekipa naročnika opravi predhodni pogodbeni pregled, ne vidi DNSSEC in vas označi kot šibke v osnovi — naroča posel, ki je pri brezplačni nastavitvi tvegan.
- Javni sektor in večji B2B kupci vse bolj pričakujejo DNSSEC kot osnovo (imenovan je v predpisih, kot je NIS2); njegova odsotnost vas tiho diskvalificira iz razpisov, preden se začne pogovor.
Zakaj je to pomembno. DNS je imenika naslovov interneta in privzeto njegovi odgovori potujejo brez podpisa — kdorkoli, ki sme vriniti ponarejen odgovor, lahko vaše stranke in vašo e-pošto pošlje kamorkoli hoče, z vašo pravo domeno, ki se v brskalniku še vedno prikazuje. DNSSEC na tiste odgovore doda tamper-proof pečat, da jih je mogoče preveriti kot resnično vaše. Popravek je brezplačen pri večini ponudnikov; edini resnični strošek je napačno narediti, zato podrobno prehodimo oba dela.
DNSSEC v preprostem jeziku
Vsakič, ko nekdo obišče vaše spletno mesto ali vam pošlje e-pošto, njihov računalnik najprej vpraša internet preprosto vprašanje: “kje ta domena dejansko živi?” Odgovor — nabor naslovov za vašo stran in vaše poštne strežnike — pride nazaj iz DNS, imenika naslovov interneta.
Tukaj je neprijetni del: privzeto ti odgovori potujejo brez podpisa. K njim ni priloženo nič za dokazanje, da je odgovor pristen. Če nekdo sme v ta pogovor vriniti ponarejen odgovor — in obstajajo dobro znani, dokazani načini za natanko to — bo računalnik vašega obiskovalca to z veseljem sprejel. Od tistega trenutka naprej obiskovalec sme govoriti z napadalčevim strežnikom, medtem ko njihov brskalnik v naslovni vrstici prikazuje vaše domensko ime.
DNSSEC je popravek. Vašim DNS odgovorom doda tamper-proof digitalni pečat. Ko je DNSSEC vklopljen, internet matematično preveri, da je odgovor resnično prišel od vas in ni bil spremenjen na poti. Ponarejen odgovor ne prestane preveritve in je zavrnjen. Je razlika med imenikom naslovov, v katerega sme vsak čečkati, in takim, kjer je vsak vpis podpisan in overjen.
Ta stran pokriva dva dela, ki jih naše preverjanje skupaj preverja: ali je pečat objavljen (zapis DS) in ali ujemajoči se ključ za njim dejansko obstaja (zapis DNSKEY). Kmalu boste videli, zakaj štejeta oba — ker imeti enega brez drugega je lasten problem.
Kaj vas to lahko stane
To so realistični, skupni vzorci — ne katerekoli poimensko navedeno podjetje.
- Nevidni preusmernik. Napadalec zastrupi DNS odgovor za vašo domeno. Stranke tipkajo vaš pravi spletni naslov, vidijo vašo pravo domeno v naslovni vrstici in pristanejo na brezhibni kopiji vaše prijavne ali blagajniške strani, ki jo gosti napadalec. Vsako geslo in številko kartice, ki jo vnesejo, gre neposredno kriminalnemu. Za to slišite šele, ko se začnejo povratne obremenitve in klici “bil sem vdrt prek vaše strani” — in sled vodi nazaj k vaši blagovni znamki, ne napadalčevi.
- Tiho prestrezanje e-pošte. DNS ne kaže le na vaše spletno mesto; kaže na vaše poštne strežnike. Ponareditio tisti odgovor in dohodna e-pošta se sme preusmeriti najprej prek napadalca. Berejo občutljiva sporočila, pobirajo enkratne kode, ki jih storitve e-pošte pošljejo za “preveritev da ste vi”, in ponastavijo gesla na računih, vezanih na vašo domeno — vse brez prijave v vašo mapo prihoda.
- Izpad, ki ga ne morete reproducirati. Ta prihaja od napol zaključene nastavitve DNSSEC. Javni pečat (DS) sedi pri vašem registrarju, a ujemajoči se ključ (DNSKEY) manjka ali je napačen. Obiskovalci pri ISP in poslovnih omrežjih, ki preverijajo DNSSEC — in je jih z vsakim letom več — preprosto ne morejo razrešiti vaše domene. Vaša stran in e-pošta delujeta brezhibno za vas in vašo IT ekipo, a del resnih strank dobi “Te strani ni mogoče doseči” brez napake, ki bi jo sami videli. Je eden najtežjih problemov za diagnosticiranje natanko zato, ker je od znotraj neviden.
- Izgubljen posel. Varnostna ali nabavna ekipa naročnika opravi rutinsko predpogodbi skeniranje vaše domene. Brez DNSSEC se pojavi kot rdeča oznaka na “Osnove varnosti DNS”. Za brezplačen, dobro razumljen nadzorni element, njegova odsotnost bere kot malomarnost — in vas lahko tiho stane pogodbe, za katero niste vedeli, da je bila v nevarnosti.
- Razpis, za katerega se ne kvalificirate. Predpisi in kontrolni seznami kupcev vse bolj imenujejo DNSSEC kot pričakovano osnovno higieno (navajan je pod določbami NIS2 o varnosti DNS). Večji B2B in javni kupci vas lahko filtrirajo, preden se začne prodajni pogovor, preprosto ker polje ni obkljukano.
Kaj dejansko je
DNSSEC deluje kot veriga zaupanja in ima dva premična dela, ki morata soglašati drug z drugim. To je srž tega, zakaj naše preverjanje gleda na dve stvari.
DNSKEY — vaš ključ. Vaš ponudnik DNS hrani kriptografski ključ in ga uporablja za podpisovanje vaših DNS zapisov. Javni del tega ključa je objavljen kot zapis DNSKEY. Pomislite nanj kot na žig pečata, hranjenem na vaši strani.
Zapis DS — prstni odtis, ki jamči za ključ. Kratek prstni odtis tistega ključa, imenovan zapis DS (Delegation Signer), je objavljen eno raven višje — pri registru vaše domene, prek vašega registrarja. To je tisto, kar preostalemu internetu omogoča zaupati vašemu ključu: vsaka raven jamči za tisto spodaj, vse do korenine interneta. DS je pečat, ki je uradno registriran, da ga vsi drugi prepoznajo.
Da DNSSEC dejansko ščiti vas, morata biti oba prisotna in se ujemati:
- DS prisoten + DNSKEY prisoten in se ujema → dobro. Veriga zaupanja je popolna. Ponarejeni odgovori so zavrnjeni; legitimni se preverijo. To je stanje “prestane”.
- Ni DS (in ni DNSKEY) → DNSSEC preprosto ni vklopljen. Nimate zaščite, a nič ni pokvarjeno. To je najpogostejše stanje “še ni narejeno”. (V našem točkovanju je to tam, kjer preverjanje DS šteje proti vam; kombinirano-ključno preverjanje obravnava čisto, v celoti “izklopljeno” stanje kot informativno in ne kot trdo neuspeh, ker se aktivno nič ne lomi.)
- DS prisoten, a DNSKEY manjka ali se ne ujema → pokvarjeno, in slabše od izklopljeno. Internet vidi objavljeni pečat, ki kaže na ključ, ki ni tam. Veljavni razreševalci sklepajo, da je vaša domena bila spremenjena, in zavrnejo razreševanje — kar povzroča intermitentne motnje, opisane zgoraj. To je najnujnejše stanje za popraviti, in naše preverjanje ga označi z visoko resnostjo.
- DNSKEY prisoten, a pri registrarju ni DS → vklopljeno, a ne aktivirano. Vaši zapisi so podpisani, a ker je bil prstni odtis nikdar registriran eno raven višje, ga preostali internet nima načina zaupati. Dobite delo brez zaščite. Popravek je dodati zapis DS pri vašem registrarju.
Kako izgleda “dobro” v eni vrstici: zapis DS pri vašem registrarju, katerega prstni odtis se ujema z živim DNSKEY pri vašem ponudniku DNS, oba potrjena z hitrim iskanjem.
Kako to popraviti (brezplačno, ~10–30 minut)
Posredujte ta razdelek komurkoli, ki upravlja vašo domeno ali spletno stran. Sam popravek je brezplačen pri večini ponudnikov — edini strošek je narediti ga skrbno, da ostaneta oba dela sinhronizirana. Zaračunamo le, če pozneje radi opazujemo, da ostane pravilno vklopljeno.
Zlato pravilo: najprej vklopite podpisovanje (kar ustvari DNSKEY), nato pri registrarju objavite zapis DS — nikoli obratno in nikoli enega brez drugega. Objava DS pred obstojem ključa je natanko tisto, kar povzroča motnje.
Preprosta pot (priporočena — Cloudflare):
- V Cloudflare zagotovite, da Cloudflare dejansko izvaja vaš DNS (vaši imenski strežniki kažejo na Cloudflare).
- Pojdite na DNS → Nastavitve → DNSSEC → Omogoči DNSSEC. Cloudflare generira in upravlja ključe za vas (to samodejno ustvari stran DNSKEY).
- Cloudflare vam prikaže podrobnosti zapisa DS za objavo pri vašem registrarju.
- Prijavite se v vaš registrar domene (npr. Blacknight, GoDaddy, Namecheap, OVH) in poiščite razdelek DNSSEC. Prilepite vrednosti DS, ki vam jih je dal Cloudflare.
- Počakajte 24–48 ur za popolno razširitev. Vaša stran in e-pošta delujeta ves čas.
Drugi ponudniki DNS (AWS Route 53, vaš spletni gostitelj itd.):
- V nadzorni plošči vašega ponudnika DNS vklopite DNSSEC / “podpiši to cono”. To generira podpisne ključe in objavi zapise DNSKEY.
- Kopirajte zapis DS, ki ga ponudnik proizvede.
- Tisti zapis DS dodajte pri vašem registrarju pod nastavitve DNSSEC.
- Potrdite, da ga je registrar sprejel, in počakajte na razširitev.
Opombe za platforme:
- Cloudflare — en klik za vklop, nato en DS lepite pri registrarju. Daleč najlažja pot.
- AWS Route 53 — vklopite podpisovanje DNSSEC na gostovani coni, nato dodajte zapis DS pri registrarju vaše domene (če je domena registrirana pri Route 53, jo AWS za vas poveže).
- Microsoft 365 / Google Workspace — ti izvajata vašo e-pošto, ne navadno vašo DNS cono. DNSSEC je vklopljen kjerkoli vaši DNS zapisi dejansko živijo (pogosto vaš registrar, gostitelj ali Cloudflare), ne v skrbniškem centru 365/Workspace.
- Vaš ponudnik DNS sploh ne podpira DNSSEC? To je pogosto pri starejših ali proračunskih gostiteljih. Čisti popravek je premik upravljanja DNS k ponudniku, ki to naredi (Cloudflare je brezplačen), nato sledite preprosti poti zgoraj. Premik DNS ne zahteva premika spletnega mesta ali e-pošte.
Preverite, da je delovalo:
- Zaženite
dig DS vasadomena.comindig DNSKEY vasadomena.com— oba bi morala vrniti zapise. - Ali uporabite katerega koli brezplačnega spletnega preverjalnika DNSSEC in potrdite zeleno/veljavno verigo zaupanja.
- Tega ne štejte za dokončano, dokler oba ne vrneta ujemajočih se zapisov. DS brez DNSKEY je pokvarjeno stanje — takoj ga popravite ali odstranite.
Pogoste napake
- Objava DS, preden ključ obstaja. Ena sama najškodljivejša napaka: dodajanje zapisa DS pri registrarju, preden je podpisovanje dejansko aktivno pri ponudniku DNS. To ustvari stanje “objavljeni pečat, manjkajoč ključ”, ki naredi vašo domeno nerazrešljivo za obiskovalce, ki preverjajo DNSSEC. Vedno najprej vklopite podpisovanje, nato objavite DS.
- Puščanje zastarelega DS za seboj po zamenjavi ponudnikov. Če migrirate ponudnike DNS (ali onemogočite podpisovanje), a pozabite odstraniti ali posodobiti stari zapis DS pri registrarju, ste ostali s kazanjem na ključ, ki ne obstaja več — isti pokvarjeni izid. Ko izklopite DNSSEC ali ga premaknete, posodobite DS pri registrarju v isti spremembi.
- Ustavitev po prvem koraku. Vklop podpisovanja pri ponudniku DNS (ustvarjanje DNSKEY), a nikdar dodajanje DS pri registrarju. Vse izgleda “vklopljeno” v nadzorni plošči DNS, a brez DS zaščita nikdar ni aktivirana. Naredili ste delo in dobili nobene koristi.
- Predpostavljanje, da HTTPS ali e-poštna avtentikacija to že pokriva. Ključavnica in e-poštna avtentikacija (SPF / DKIM / DMARC) so vredne, a rešijo različne probleme. Nobena ne prepreči ponarejenega DNS odgovora, ki obiskovalce od začetka pošlje na napačno mesto.
- Brez opazovanja po vklopu. Ključi se vrtijo, ponudniki se spremenijo, zapisi so urejeni. Nastavitev, ki je danes popolna, se sme tiho pokvariti mesece kasneje. Če DNSSEC zadosti za vklop, je vredno periodičnega preverjanja, da je še vedno veljavno.
Kje to sedi v vaši oceni
Obe preverjanje prispevata k vaši oceni varnosti DNS. Preverjanje zapisa DS je obravnavano kot bolj prioritetno od dveh: manjkajoč DS je prava vrzel in je točkovan kot neuspeh. Preverjanje DNSKEY potrjuje, da je preostala veriga netaknjena — prestane le, ko sta ujemajoč DS in DNSKEY oba prisotna, in označi nevarno stanje “DS-brez-ključa” kot visoko resnost. Čist “DNSSEC preprosto še ni vklopljen” rezultat je pogosto izhodišče za mnoga podjetja; premik od tam do popolnega, ujemajočega se para DS + DNSKEY je brezplačna, dobro razumljena nadgradnja, ki izboljša vaše stanje varnosti DNS in odstrani pravo pot za ponarejanje in prestrezanje.
Nastavite pri svojem ponudniku
Korak za korakom pri priljubljenih ponudnikih:
- Nastavite DNSSEC pri GoDaddy
- Nastavite DNSSEC pri Namecheap
- Nastavite DNSSEC pri Cloudflare
- Nastavite DNSSEC pri AWS Route 53
Pogosta vprašanja
Nisem tehničen — ali se s tem moram osebno ukvarjati?
Ne. Razumeti morate, zakaj je to pomembno (ta stran to pokriva), a dejansko sprememba živi v nastavitvah DNS in registrarja vaše domene, zato sodi k tistemu, ki upravlja vašo domeno ali spletno stran. Posredujte mu razdelek 'Kako to popraviti' — je brezplačen in navadno vzame manj kot pol ure. Zaračunamo le, če pozneje radi opazujemo, da ostane pravilno vklopljeno.
Če moja stran že ima ključavnico (HTTPS), ali nisem že zaščiten?
Ščitita različne stvari. Ključavnica zaščiti zvezo, ko obiskovalec doseže pravi strežnik. DNSSEC zaščiti korak pred tem — zagotavlja, da sploh dosežejo pravi strežnik. Napadalec, ki ponaredil vaš DNS, lahko obiskovalce pošlje na lastni strežnik, ki ima lahko lasten veljavni certifikat ključavnice za podobno domeno ali celo kopijo vaše. Potrebujete oba; eden ne nadomesti drugega.
Ali bi vklop DNSSEC lahko pokvaril moje spletno mesto ali e-pošto?
Ko je narejeno na enem mestu pri ponudniku, ki ga podpira, ne — sodobni ponudniki za vas upravljajo ključe in preprosto deluje. Tveganje pride od nareditve v dveh ločenih korakih in zaključitve le enega: objava javnega 'pečata' (zapisa DS) pri vašem registrarju, medtem ko ujemajoči se ključ (DNSKEY) manjka ali se ne ujema. To pokvarjeno stanje je slabše od brez DNSSEC in povzroča intermitentne motnje. Spodnji koraki ohranijo oba dela sinhronizirana, da se to ne zgodi.
Gostujemo pri Cloudflare / Google Workspace / Microsoft 365 — ali to že pokriva?
Ne samodejno, a ga naredi enostavnega. Kje je vaš DNS upravljan, je tisto, kar šteje. Če Cloudflare izvaja vaš DNS, je ena kliknitev za vklop in en zapis, ki ga prilepite pri vašem registrarju. Microsoft 365 in Google Workspace upravljata e-pošto, ne navadno vašo DNS cono — DNSSEC je vklopljen kjerkoli zapisi DNS vaše domene dejansko živijo (pogosto Cloudflare, vaš registrar ali vaš gostitelj). Spodnji koraki pokrivajo pogoste primere.
Kaj točno sta 'DS' in 'DNSKEY' — in zakaj ta stran omenja oba?
Sta oba dela ene ključavnice. DNSKEY je ključ, ki ga ima vaš ponudnik DNS in ga uporablja za podpisovanje vaših zapisov. DS je prstni odtis tega ključa, objavljen eno raven višje pri vašem registrarju, da mu preostali internet potrdi, da je ključ resnično vaš. Oba morata biti prisotna in se morata ujemati. Preverimo oba: manjkajoči DS pomeni, da DNSSEC ni vklopljen; DS brez ujemajočega se DNSKEY pomeni, da je vklopljen, a pokvarjen.
Kako dolgo, preden deluje, in kako potrdim?
Dovolite 24–48 ur, da se sprememba v celoti razširi po internetu; vaša obstoječa stran in e-pošta delujeta ves čas, če je narejeno pravilno. Za potrditev vaša IT oseba zažene 'dig DS vasadomena' in 'dig DNSKEY vasadomena' in za oba vidi vrnjene zapise, ali pa uporablja katero koli brezplačno spletno preverjalnik DNSSEC. Prav tako ga lahko neprestano opazujemo, tako da prihodnja pokvaritev zaznamo na dan, ko se zgodi, ne na dan, ko se stranka pritoži.