Defaults.Exposed › Rešenja › DNSSEC
Kako popraviti DNSSEC
DNSSEC je digitalni pečat na adresaru vašeg domena. Dozvoljava internetu da dokaže da je odgovor na 'gdje ovaj domen živi?' zaista došao od vas i nije bio dirnut putem. Bez njega, odgovor može biti falsificiran — i vaši posjetioci tiho poslati negdje drugamo.
Suština za vaše poslovanje: Bez DNSSEC-a, napadač koji može trovati DNS odgovor može usmjeriti vaše kupce na savršenu kopiju vašeg sajta dok im pretraživač i dalje prikazuje vaš pravi domen. Login podaci, brojevi kartica i lični podaci bivaju skupljani, a za to saznate od chargebackova i žalbi. Napola urađen DNSSEC postav je još gori: može vaš sajt učiniti nedostupnim za rastuću skupinu posjetioca bez ikakve greške koju biste ikad primijetili.
Šta vam ovo može koštati
- Posjetioci koji kucaju vaš pravi domen bivaju tiho preusmjereni na kopiju koja hvata njihovu lozinku i kartičn detalje — a jer adresna traka cijelo vrijeme prikazuje vaš domen, niko ništa ne sumnja dok ne počnu pristizati prijave prevare.
- Vaš imejl biva tiho preusmjeren: napadač falsificira odgovor za vaše mail servere, čita ili presreće poruke i resetuje lozinke na nalozima koji vam šalju kôd imejlom — sve ne dotirajući vaš inbox.
- Napola konfigurisani DNSSEC postav (javni pečat postoji ali odgovarajući ključ nedostaje) čini vaš sajt i imejl slučajno neuspješnim za kupce na velikim ISP-ovima i korporativnim mrežama — povremeni 'vaš sajt je pao za mene' izvještaji koje ne možete reproducirati.
- Bezbednosni tim potencijalnog kupca vrši provjeru pred-ugovor, vidi da nema DNSSEC-a i ocjenjuje vas loše na osnovama — ugrožavajući posao zbog besplatnog podešavanja.
- Javni i veći B2B kupci sve više očekuju DNSSEC kao baseline (imenovan je u propisima poput NIS2); njegovo odsustvo vas tiho diskvalifikuje od tendera pre nego što razgovor i počne.
Zašto je to važno. DNS je adresat interneta i po defaultu njegovi odgovori putuju nepotpisani — svako ko može ubaciti falsifikovani odgovor može poslati vaše kupce i vaš imejl gdje god želi, s vašim pravim domenom i dalje prikazanim u pretraživaču. DNSSEC stavlja tamper-proof pečat na te odgovore da mogu biti verificirani kao zaista vaši. Popravka je besplatna kod većine provajdera; jedini pravi trošak je uraditi je pogrešno, što je tačno razlog zašto pažljivo prolazimo kroz oba dijela.
DNSSEC, jednostavnim rečima
Svaki put kad neko posjeti vaš sajt ili vam pošalje imejl, njihov kompjuter najpre postavlja internetu jednostavno pitanje: “gdje ovaj domen zapravo živi?” Odgovor — skup adresa vašeg sajta i vaših mail servera — dolazi nazad iz DNS-a, adresara interneta.
Evo neugodnog dijela: po defaultu, ti odgovori putuju nepotpisani. Nema ničeg priloženog da se dokaže da je odgovor pravi. Ako neko može ubaciti falsifikovani odgovor u taj razgovor — a postoje dobro-poznati, dokazani načini za tačno to — kompjuter vašeg posjetioca će ga radosno prihvatiti. Od tog trenutka, posjetilac može razgovarati s napadačevim serverom dok im pretraživač i dalje prikazuje vaš domen u adresnoj traci.
DNSSEC je popravka. Dodaje tamper-proof digitalni pečat vašim DNS odgovorima. Kad je DNSSEC uključen, internet može matematički verificirati da je odgovor zaista došao od vas i nije bio promijenjen putem. Falsifikovani odgovor ne prolazi provjeru i biva odbačen. To je razlika između adresara u kojeg svako može pisati i onog gdje je svaki unos potpisan i svjedočen.
Ova stranica pokriva dva dijela koje naša provjera gleda zajedno: da li je pečat objavljen (the DS zapis) i da li odgovarajući ključ iza njega zaista postoji (the DNSKEY zapis). Uskoro ćete vidjeti zašto su oba bitna — jer imanje jednog bez drugog je vlastita vrsta problema.
Šta vam ovo može koštati
Ovo su realistični, skupni uzorci — ne neko imenujemo preduzeće.
-
Nevidljivi redirect. Napadač truje DNS odgovor za vaš domen. Kupci kucaju vašu pravu web adresu, vide vaš pravi domen u traci i pristaju na besprijekornu kopiju vaše login ili checkout stranice hostovanu od napadača. Svaka lozinka i broj kartice koje unesu idu direktno kriminalcu. Za to čujete jedino kad počnu pristizati chargebacki i “hakiran sam putem vašeg sajta” pozivi — a trag vodi do vašeg brenda, ne napadačevog.
-
Tiho presretanje imejla. DNS ne pokazuje samo na vaš sajt; pokazuje na vaše mail servere. Falsificirajte taj odgovor i dolazni imejl može biti preusmjeren kroz napadača prvo. Čitaju osjetljive poruke, skupljaju jednokratne kodove koje servisi šalju imejlom za “verificirajte da ste vi” i resetuju lozinke na nalozima vezanim za vaš domen — sve bez ikad ulaska u vaš sandučić.
-
Outage koji ne možete reproducirati. Ovaj dolazi od napola-dovršenog DNSSEC postava. Javni pečat (DS) sjedi kod vašeg registrara, ali odgovarajući ključ (DNSKEY) nedostaje ili je pogrešan. Posjetioci na ISP-ovima i korporativnim mrežama koje provjeravaju DNSSEC — a sve ih je više svake godine — jednostavno ne mogu resolvovati vaš domen uopšte. Vaš sajt i imejl rade savršeno za vas i vašu tehnologiju, ali dio pravih kupaca dobiva “ovaj sajt se ne može dostići” bez ikakve greške koji možete vidjeti. To je jedan od najtežih problema za dijagnosticirati tačno jer je nevidljiv iznutra.
-
Izgubljeni posao. Bezbednosni ili nabavni tim potencijalnog kupca vrši rutinsko skeniranje vašeg domena pre-ugovor. Nema DNSSEC-a se pojavljuje kao crvena oznaka na “osnove DNS bezbednosti”. Za besplatnu, dobro-razumljenu kontrolu, njeno odsustvo čita se kao nehat — i može vas tiho koštati ugovora za koji nikad niste znali da je bio u pitanju.
-
Tender za koji se ne kvalifikujete. Propisi i kupac checkliste sve više imenuju DNSSEC kao očekivanu baseline higijenu (pominje se pod NIS2 DNS-bezbednosnim odredbama). Veći B2B i javni kupci mogu vas filtrirati pre razgovora o prodaji, jednostavno jer kutija nije označena.
Šta je to zapravo
DNSSEC radi kao lanac povjerenja i ima dva pokretna dijela koja moraju biti saglasna. Ovo je srž zašto naša provjera gleda dvije stvari.
DNSKEY — vaš ključ. Vaš DNS provajder drži kriptografski ključ i koristi ga za potpisivanje vaših DNS zapisa. Javni dio tog ključa se objavljuje kao DNSKEY zapis. Zamislite ga kao pečat-špalin koji se čuva na vašem kraju.
DS zapis — otisak prsta koji jemči za ključ. Kratki otisak prsta od tog ključa, nazvan DS (Delegation Signer) zapis, objavljuje se jedan nivo gore — kod registra vašeg domena, putem vašeg registrara. Ovo je ono što dozvoljava ostatku interneta da vjeruje vašem ključu: svaki nivo jemči za onaj ispod njega, sve gore do korijena interneta. DS je pečat koji je zvanično registrovan tako da ga svi drugi mogu prepoznati.
Da bi DNSSEC zaista štitio, oba moraju biti prisutna i moraju odgovarati:
- DS prisutan + DNSKEY prisutan i odgovara → dobro. Lanac povjerenja je kompletan. Falsifikovani odgovori bivaju odbijeni; legitimni se verificiraju. Ovo je stanje “prolaz”.
- Nema DS-a (i nema DNSKEY-a) → DNSSEC jednostavno nije uključen. Nemate zaštitu, ali ništa nije pokvareno. Ovo je najčešće stanje “još nije urađeno”. (U našem bodovanju ovo je gdje DS provjera ide na minus; kombinovana-ključ provjera tretira čisto, potpuno “isključeno” stanje kao informativno a ne kao tvrdi kvar, jer se ništa aktivno ne kvari.)
- DS prisutan, ali DNSKEY nedostaje ili ne odgovara → pokvareno i gore od isključenog. Internet vidi objavljeni pečat koji pokazuje na ključ koji nije tamo. Resolveri koji validiraju zaključuju da je vaš domen bio dirnut i odbijaju resolvovati — uzrokujući povremene outage-e opisane gore. Ovo je najhitnije stanje za popraviti, i naša provjera ga flaguje kao visoku ozbiljnost.
- DNSKEY prisutan, ali nema DS-a kod registrara → uključeno ali ne aktivirano. Vaši zapisi su potpisani, ali jer otisak prsta nikad nije registrovan jedan nivo gore, ostatak interneta nema način da im vjeruje. Dobivate posao bez zaštite. Popravka je dodavanje DS zapisa kod vašeg registrara.
Kako izgleda “dobro,” u jednoj liniji: DS zapis kod vašeg registrara čiji otisak prsta odgovara živom DNSKEY-u kod vašeg DNS provajdera, oba potvrđena brzim lookupom.
Kako popraviti (besplatno, ~10–30 minuta)
Prosledite ovaj odeljak ko god upravlja vašim domenom ili sajtom. Sama popravka je besplatna kod većine provajdera — jedini trošak je uraditi je pažljivo da oba dijela ostanu sinhronizovana. Naplaćujemo jedino ako kasnije željite da pratimo da ostane ispravno omogućeno.
Zlatno pravilo: najpre omogućite potpisivanje (koje kreira DNSKEY), zatim objavite DS zapis kod registrara — nikad obrnutim redom i nikad jedno bez drugog. Objavljivanje DS-a pre nego ključ postoji je tačno ono što uzrokuje outage-e.
Jednostavan put (preporučen — Cloudflare):
- U Cloudflare-u, osigurajte da Cloudflare zaista vodi vaš DNS (vaši nameserveri pokazuju na Cloudflare).
- Idite na DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare generiše i upravlja ključevima za vas (ovo automatski kreira DNSKEY stranu).
- Cloudflare vam prikazuje DS zapis detalje za objavljivanje kod vašeg registrara.
- Prijavite se u vaš registrar domena (npr. GoDaddy, Namecheap, OVH) i pronađite odeljak DNSSEC. Zalijepite DS vrijednosti koje vam je Cloudflare dao.
- Pričekajte 24–48 sati za puno širenje. Vaš sajt i imejl nastavljaju raditi tokom toga.
Drugi DNS provajderi (AWS Route 53, vaš web host, i sl.):
- U control panelu vašeg DNS provajdera, omogućite DNSSEC / “potpiši ovu zonu”. Ovo generiše ključeve za potpisivanje i objavljuje DNSKEY zapise.
- Kopirajte DS zapis koji provajder producira.
- Dodajte taj DS zapis kod vašeg registrara pod DNSSEC podešavanjima.
- Potvrdite da ga registrar prihvatio i pričekajte širenje.
Platform napomene:
- Cloudflare — jednoklikovno omogućavanje, zatim jedan DS paste kod registrara. Daleko najlakši put.
- AWS Route 53 — omogućite DNSSEC potpisivanje na hosted zoni, zatim dodajte DS zapis kod registrara vašeg domena (ako je domen registrovan kod Route 53, AWS ga može linkati za vas).
- Microsoft 365 / Google Workspace — ovi vode vaš imejl, ne obično vašu DNS zonu. DNSSEC se omogućava gdje god zapravo žive vaši DNS zapisi (često vaš registrar, host ili Cloudflare), ne u 365/Workspace admin centru.
- Vaš DNS provajder uopšte ne podržava DNSSEC? To je uobičajeno s starijim ili budget hostovima. Čista popravka je preseliti DNS upravljanje na provajdera koji ga podržava (Cloudflare je besplatan), zatim slijediti jednostavan put gore. Premještanje DNS-a ne zahtijeva premještanje vašeg sajta ili imejla.
Verifikujte da je radilo:
- Pokrenite
dig DS vasdomecn.comidig DNSKEY vasdomecn.com— oba trebaju vratiti zapise. - Ili koristite bilo koji besplatni online DNSSEC provjerioc i potvrdite zeleni/valjani lanac povjerenja.
- Ne smatrajte to završenim dok oba ne vrate odgovarajuće zapise. DS bez DNSKEY-a je pokvareno stanje — odmah popravite ili uklonite.
Česte greške
- Objavljivanje DS-a prije nego ključ postoji. Jedina najopasnija greška: dodavanje DS zapisa kod registrara pre nego što je potpisivanje zaista živо kod DNS provajdera. Ovo kreira “objavljeni pečat, nedostajući ključ” stanje koje čini vaš domen neresolvabilnim za DNSSEC-provjeravajuće posjetioce. Uvijek najpre omogućite potpisivanje, zatim objavite DS.
- Ostavljanje zastarjelog DS-a iza prelaska provajdera. Ako migrirate DNS provajdere (ili onemogućite potpisivanje) ali zaboravite ukloniti ili ažurirati stari DS zapis kod registrara, ostavljeni ste pokazujući na ključ koji više ne postoji — isti pokvareni ishod. Kad isključite DNSSEC ili ga premjestite, ažurirajte DS kod registrara u istoj promjeni.
- Zaustavljanje nakon koraka jedan. Omogućavanje potpisivanja kod DNS provajdera (kreiranje DNSKEY-a) ali nikad dodavanje DS-a kod registrara. Sve izgleda “uključeno” u DNS dashboardu, ali bez DS-a zaštita se nikad ne aktivira. Uradili ste posao i niste dobili nišra od benefita.
- Pretpostavljanje da HTTPS ili imejl autentifikacija već pokriva ovo. Katanac i imejl autentifikacija (SPF / DKIM / DMARC) su vrijedni ali rješavaju različite probleme. Nijedan od njih ne zaustavlja falsifikovani DNS odgovor od slanja posjetioca na pogrešno mjesto.
- Ne praćenje nakon omogućavanja. Ključevi se mijenjaju, provajderi se mijenjaju, zapisi se edituju. Postav koji je savršen danas može tiho pokvariti mesecima kasnije. Ako DNSSEC je vrijedan omogućavanja, vrijedi periodične provjere da je i dalje valjan.
Gdje ovo sjedi u vašoj ocjeni
Obje od ovih provjera se računaju u vaš DNS Security skor. DS zapis provjera se tretira kao viši prioritet od dvije: nedostajući DS je prava praznina i boduje se kao kvar. DNSKEY provjera potvrđuje da je ostatak lanca netaknut — prolazi jedino kad odgovarajući DS i DNSKEY su oba prisutna i flaguje opasno “DS-bez-ključa” pokvareno stanje kao visoku ozbiljnost. Čisti “DNSSEC jednostavno još nije omogućen” rezultat je uobičajena polazna tačka za mnoga preduzeća; pomjeranje od tuda ka kompletnom, odgovarajućem DS + DNSKEY paru je besplatna, dobro-razumljenu nadogradnja koja poboljšava vaš DNS Security standing i uklanja pravu aveniju za imitiranje i presretanje.
Podesite na svom hostingu
Korak po korak za popularne provajdere:
- Podesite DNSSEC na GoDaddy
- Podesite DNSSEC na Namecheap
- Podesite DNSSEC na Cloudflare
- Podesite DNSSEC na AWS Route 53
Često postavljana pitanja
Nisam tehničar — moram li ovo sam rješavati?
Ne. Trebate razumjeti zašto je bitno (ova stranica to pokriva), ali stvarna promjena živi u vašem DNS-u i podešavanjima registrara, pa pripada ko god upravlja vašim domenom ili sajtom. Prosledite im odeljak 'Kako popraviti' — besplatno je i obično traje manje od pola sata. Naplaćujemo jedino ako kasnije željite da pratimo da ostane ispravno uključeno.
Ako moj sajt već ima katanac (HTTPS), nisam li već zaštićen?
Štite različite stvari. Katanac osigurava vezu jednom kad je posjetilac dostigao pravi server. DNSSEC štiti korak prije toga — osiguravajući da uopšte dostignu pravi server. Napadač koji falsificira vaš DNS može poslati posjetioce na vlastiti server koji može imati vlastiti valjani katanac na kopiji vaše stranice. Trebate oboje; jedno ne zamjenjuje drugo.
Može li uključivanje DNSSEC-a pokvariti moj sajt ili imejl?
Urađeno na jednom mjestu od strane provajdera koji ga podržava, ne — moderni provajderi rukuju ključevima za vas i jednostavno radi. Rizik dolazi od rađenja u dva odvojena koraka i završavanja samo jednog: objavljivanje javnog 'pečata' (DS zapisa) kod vašeg registrara dok odgovarajući ključ (DNSKEY) nedostaje ili ne odgovara. Taj pokvareni stanje je gori od DNSSEC-a koji nije uključen i uzrokuje povremene outage-e. Koraci ispod drže oba dijela sinhronizovana da se ovo ne desi.
Hostujemo kod Cloudflare-a / Google Workspace-a / Microsoft 365-a — pokriva li to ovo?
Ne automatski, ali ga čini lakim. Ono što bitno je gdje je vaš DNS upravljan. Ako Cloudflare vodi vaš DNS, to je jednoklikovano omogućavanja plus lijepljenje jednog zapisa kod vašeg registrara. Microsoft 365 i Google Workspace upravljaju imejlom, ne obično vašom DNS zonom — DNSSEC se omogućava gdje god zapravo žive DNS zapisi vašeg domena (često Cloudflare, vaš registrar ili vaš host). Koraci ispod pokrivaju uobičajene slučajeve.
Šta su tačno 'DS' i 'DNSKEY' — i zašto ova stranica pominje oba?
To su dva dijela jedne brave. DNSKEY je ključ koji vaš DNS provajder drži i koristi za potpisivanje vaših zapisa. DS je otisak prsta od tog ključa, objavljen jedan nivo gore kod vašeg registrara da ostatak interneta može potvrditi da je ključ zaista vaš. Oba moraju biti prisutna i moraju odgovarati. Provjeravamo oba: nedostajući DS znači da DNSSEC nije uključen; DS bez odgovarajućeg DNSKEY-a znači da je uključen ali pokvaren.
Koliko dugo dok radi i kako to potvrditi?
Dozvolite 24–48 sati da se promjena potpuno širi po internetu; vaš postojeći sajt i imejl nastavljaju raditi tokom toga ako je urađeno ispravno. Za potvrdu, vaša IT osoba može pokrenuti 'dig DS vasdomecn' i 'dig DNSKEY vasdomecn' i vidjeti zapise vraćene za oba, ili koristiti bilo koji besplatni online DNSSEC provjerioc. Možemo i pratiti to kontinuirano da buduće kvarenje bude uhvaćeno dan kada se desi, ne dan kada se kupac požali.