Defaults.Exposed

Defaults.Exposedการแก้ไข › DNSSEC

วิธีแก้ไข DNSSEC

DNSSEC เป็นตราประทับดิจิทัลบนสมุดที่อยู่โดเมนของคุณ มันช่วยให้อินเทอร์เน็ตพิสูจน์ว่าคำตอบของ 'โดเมนนี้อยู่ที่ไหน?' มาจากคุณจริงๆ และไม่ถูกดัดแปลงระหว่างทาง หากไม่มีมัน คำตอบสามารถถูกปลอมแปลง — และผู้เข้าชมของคุณถูกส่งไปที่อื่นอย่างเงียบๆ

สรุปสำหรับธุรกิจของคุณ: โดยไม่มี DNSSEC ผู้โจมตีที่สามารถ poison คำตอบ DNS สามารถชี้ลูกค้าของคุณไปยังสำเนาที่สมบูรณ์แบบของเว็บไซต์ของคุณในขณะที่เบราว์เซอร์ของมันยังแสดงชื่อโดเมนจริงของคุณ การเข้าสู่ระบบ หมายเลขบัตร และข้อมูลส่วนตัวถูกรวบรวม และคุณพบมันจาก chargebacks และข้อร้องเรียนเท่านั้น การตั้งค่า DNSSEC ที่ค้างอยู่ครึ่งทางแย่กว่า: มันสามารถทำให้เว็บไซต์ของคุณไม่สามารถเข้าถึงได้สำหรับส่วนแบ่งที่เพิ่มขึ้นของผู้เข้าชมโดยไม่มีข้อผิดพลาดที่คุณจะสังเกตได้

สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย

เหตุใดจึงสำคัญ DNS เป็นสมุดที่อยู่ของอินเทอร์เน็ต และตามค่าเริ่มต้นคำตอบของมันเดินทางโดยไม่ signed — ใครก็ตามที่สามารถแทรกการตอบกลับปลอมสามารถส่งลูกค้าและอีเมลของคุณไปที่ใดก็ได้ที่พวกมันต้องการ โดยที่โดเมนจริงของคุณยังคงแสดงในเบราว์เซอร์ DNSSEC ใส่ตราประทับป้องกันการดัดแปลงบนคำตอบเหล่านั้นเพื่อให้สามารถยืนยันได้ว่าเป็นของคุณจริงๆ การแก้ไขฟรีที่ผู้ให้บริการส่วนใหญ่ ค่าใช้จ่ายจริงเพียงอย่างเดียวคือการทำมันผิด ซึ่งเป็นเหตุผลที่เราดำเนินการทั้งสองครึ่งอย่างรอบคอบ

วิธีแก้ไข ทีละขั้นตอน

  1. ตรวจสอบการรองรับ registrar และ DNS host. ยืนยันทั้ง registrar และ DNS host ของคุณรองรับ DNSSEC ก่อนเริ่ม
  2. เปิด signing ที่ DNS host ของคุณ. เปิด DNSSEC โดย host sign zone ของคุณและสร้างระเบียน DS
  3. เผยแพร่ระเบียน DS ที่ registrar ของคุณ. คัดลอกระเบียน DS เข้าการตั้งค่า DNSSEC ของ registrar เพื่อทำให้ chain of trust สมบูรณ์
  4. รอให้ propagate. รอ 24-48 ชั่วโมงและอย่าสลับ DNS host ระหว่างทาง หรือคุณสามารถทำลาย resolution
  5. ยืนยันว่ามันทำงาน. ตรวจสอบใหม่เพื่อยืนยันว่า chain of trust ถูกต้องจนถึงปลาย

DNSSEC เป็นคำพูดง่ายๆ

ทุกครั้งที่มีคนเข้าชมเว็บไซต์ของคุณหรือส่งอีเมลถึงคุณ คอมพิวเตอร์ของมันถามคำถามง่ายๆ กับอินเทอร์เน็ตก่อน: “โดเมนนี้อยู่ที่ไหนจริงๆ?” คำตอบ — ชุดที่อยู่สำหรับเว็บไซต์และ mail server ของคุณ — กลับมาจาก DNS สมุดที่อยู่ของอินเทอร์เน็ต

นี่คือส่วนที่น่าอึดอัด: ตามค่าเริ่มต้น คำตอบเหล่านั้นเดินทางโดยไม่ signed ไม่มีอะไรแนบมาเพื่อพิสูจน์ว่าคำตอบเป็นของแท้ ถ้าใครสามารถแทรกการตอบกลับปลอมในการสนทนานั้น — และมีวิธีที่รู้จักและพิสูจน์แล้วในการทำสิ่งนั้น — คอมพิวเตอร์ของผู้เข้าชมจะยอมรับมันอย่างยินดี จากจุดนั้นเป็นต้นไป ผู้เข้าชมสามารถคุยกับเซิร์ฟเวอร์ของผู้โจมตีในขณะที่เบราว์เซอร์ของมันยังแสดงชื่อโดเมนของคุณในแถบที่อยู่

DNSSEC คือการแก้ไข มันเพิ่มตราประทับดิจิทัลป้องกันการดัดแปลงในคำตอบ DNS ของคุณ เมื่อ DNSSEC เปิด อินเทอร์เน็ตสามารถยืนยันทางคณิตศาสตร์ว่าคำตอบมาจากคุณจริงๆ และไม่ถูกเปลี่ยนแปลงระหว่างทาง การตอบกลับปลอมล้มเหลวในการตรวจสอบและถูกโยนทิ้ง

หน้านี้ครอบคลุมสองส่วนที่การตรวจสอบของเรามองพร้อมกัน: ว่าตราประทับถูกเผยแพร่ (ระเบียน DS) และ ว่า key ที่ตรงกันเบื้องหลังมันมีอยู่จริง (ระเบียน DNSKEY)

สิ่งนี้อาจทำให้คุณสูญเสียอะไร

มันคืออะไรจริงๆ

DNSSEC ทำงานเป็น chain of trust และมีสองส่วนที่เคลื่อนไหวที่ต้องตกลงกัน

DNSKEY — key ของคุณ DNS provider ของคุณเก็บ cryptographic key และใช้มันเพื่อsign ระเบียน DNS ของคุณ ครึ่งสาธารณะของ key นั้นถูกเผยแพร่เป็นระเบียน DNSKEY คิดว่ามันเป็นตราประทับที่ฝั่งของคุณ

ระเบียน DS — ลายนิ้วมือที่รับรอง key ลายนิ้วมือสั้นๆ ของ key นั้น เรียกว่าระเบียน DS (Delegation Signer) เผยแพร่หนึ่งระดับขึ้น — ที่ registry ของโดเมนของคุณ ผ่าน registrar ของคุณ สิ่งนี้ช่วยให้ส่วนที่เหลือของอินเทอร์เน็ตไว้วางใจ key ของคุณ

สำหรับ DNSSEC จะปกป้องคุณจริงๆ ทั้งสองต้องมีอยู่และต้องตรงกัน:

สิ่งที่ “ดี” ดูเหมือน: ระเบียน DS ที่ registrar ของคุณที่ลายนิ้วมือตรงกับ DNSKEY ที่ยังมีชีวิตที่ DNS provider ของคุณ ทั้งสองยืนยันด้วยการค้นหาอย่างรวดเร็ว

วิธีแก้ไข (ฟรี ~10–30 นาที)

ส่งส่วนนี้ให้ผู้ที่จัดการโดเมนหรือเว็บไซต์ของคุณ การแก้ไขตัวเองฟรีที่ผู้ให้บริการส่วนใหญ่

กฎทองคำ: เปิด signing ก่อน (ซึ่งสร้าง DNSKEY) จากนั้นเผยแพร่ระเบียน DS ที่ registrar — ไม่ใช่ทางอื่น และไม่ใช่หนึ่งโดยไม่มีอีกอัน การเผยแพร่ DS ก่อนที่ key มีอยู่เป็นสิ่งที่ทำให้เกิดการหยุดทำงาน

เส้นทางง่าย (แนะนำ — Cloudflare):

  1. ใน Cloudflare ตรวจสอบให้แน่ใจว่า Cloudflare รัน DNS ของคุณจริงๆ (nameserver ของคุณชี้ไปยัง Cloudflare)
  2. ไปที่ DNS → Settings → DNSSEC → Enable DNSSEC Cloudflare สร้างและจัดการ key ให้คุณ (สร้างด้าน DNSKEY โดยอัตโนมัติ)
  3. Cloudflare แสดงรายละเอียดระเบียน DS เพื่อเผยแพร่ที่ registrar ของคุณ
  4. เข้าสู่ระบบdomain registrar ของคุณ (เช่น Blacknight, GoDaddy, Namecheap, OVH) และหาส่วน DNSSEC วางค่า DS ที่ Cloudflare ให้คุณ
  5. รอ 24–48 ชั่วโมงสำหรับ propagation เต็ม เว็บไซต์และอีเมลของคุณทำงานต่อไปตลอดเวลา

DNS provider อื่น (AWS Route 53, โฮสต์เว็บของคุณ ฯลฯ):

  1. ใน control panel ของ DNS provider เปิด DNSSEC / “sign this zone” สิ่งนี้สร้าง signing keys และเผยแพร่ระเบียน DNSKEY
  2. คัดลอกระเบียน DS ที่ผู้ให้บริการสร้าง
  3. เพิ่มระเบียน DS นั้นที่registrar ของคุณภายใต้การตั้งค่า DNSSEC
  4. ยืนยันว่า registrar ยอมรับมันและรอให้ propagate

ยืนยันว่ามันทำงาน:

ข้อผิดพลาดทั่วไป

ที่นี่อยู่ในเกรดของคุณที่ไหน

การตรวจสอบทั้งสองนี้นับต่อ DNS Security score ของคุณ การตรวจสอบระเบียน DS ถือว่าเป็นลำดับความสำคัญสูงกว่าในสอง: DS ที่หายไปเป็นช่องว่างจริงและให้คะแนนเป็นความล้มเหลว การตรวจสอบ DNSKEY ยืนยันส่วนที่เหลือของ chain ที่สมบูรณ์ — มันผ่านเมื่อทั้ง DS และ DNSKEY มีอยู่และตรงกัน และทำเครื่องหมายสถานะ “DS-without-key” เสียหายอันตรายว่ามีความรุนแรงสูง ผลลัพธ์ “DNSSEC ไม่ได้เปิดใช้งานเลย” สะอาดเป็นจุดเริ่มต้นทั่วไปสำหรับธุรกิจหลายราย การย้ายจากที่นั่นไปยัง DS + DNSKEY pair ที่สมบูรณ์และตรงกันเป็นการอัปเกรดฟรีที่เป็นที่เข้าใจดีที่ปรับปรุงสถานะ DNS Security ของคุณและลบช่องทางจริงสำหรับการแอบอ้างและการดักจับ

ตั้งค่าบนโฮสต์ของคุณ

ทีละขั้นตอนสำหรับผู้ให้บริการยอดนิยม:

คำถามที่พบบ่อย

ฉันไม่ใช่คนเทคนิค — นี่เป็นสิ่งที่ฉันต้องจัดการเองไหม?

ไม่ คุณต้องเข้าใจว่าทำไมมันถึงสำคัญ (หน้านี้ครอบคลุมสิ่งนั้น) แต่การเปลี่ยนแปลงจริงอยู่ใน DNS และการตั้งค่า registrar ของโดเมนของคุณ ดังนั้นมันอยู่กับผู้ที่จัดการโดเมนหรือเว็บไซต์ของคุณ ส่งส่วน 'วิธีแก้ไข' ให้พวกมัน — มันฟรีและมักใช้เวลาน้อยกว่าครึ่งชั่วโมง

ถ้าเว็บไซต์ของฉันมี padlock (HTTPS) แล้ว ฉันไม่ได้รับการปกป้องแล้วไหม?

พวกมันปกป้องสิ่งต่างกัน padlock รักษาการเชื่อมต่อเมื่อผู้เข้าชมเข้าถึงเซิร์ฟเวอร์ที่ถูกต้อง DNSSEC ปกป้องขั้นตอนก่อนหน้านั้น — ตรวจสอบให้แน่ใจว่าพวกมันเข้าถึงเซิร์ฟเวอร์ที่ถูกต้องตั้งแต่แรก ผู้โจมตีที่ปลอมแปลง DNS ของคุณสามารถส่งผู้เข้าชมไปยังเซิร์ฟเวอร์ของพวกมันเองซึ่งสามารถมี padlock ถูกต้องของตัวเองบน look-alike domain หรือแม้แต่สำเนาของคุณ คุณต้องการทั้งสอง

การเปิด DNSSEC จะทำให้เว็บไซต์หรืออีเมลของฉันเสียหายไหม?

ทำในที่เดียวโดยผู้ให้บริการที่รองรับมัน ไม่ — ผู้ให้บริการสมัยใหม่จัดการ key ให้คุณและมันก็ทำงาน ความเสี่ยงมาจากการทำในสองขั้นตอนที่ไม่เชื่อมต่อและทำเสร็จเพียงขั้นตอนเดียว: เผยแพร่ตราประทับสาธารณะ (ระเบียน DS) ที่ registrar ของคุณในขณะที่ key ที่ตรงกัน (DNSKEY) หายไปหรือไม่ตรงกัน สถานะที่เสียหายนั้นแย่กว่าไม่มี DNSSEC และทำให้เกิดการหยุดทำงานเป็นระยะๆ ขั้นตอนด้านล่างเก็บทั้งสองครึ่งใน sync เพื่อไม่ให้เกิดเหตุการณ์นี้

เราโฮสต์กับ Cloudflare / Google Workspace / Microsoft 365 — นั้นครอบคลุมมันไหม?

ไม่อัตโนมัติ แต่มันทำให้ง่าย ที่ DNS ของคุณได้รับการจัดการเป็นสิ่งที่สำคัญ ถ้า Cloudflare รัน DNS ของคุณ มันเป็นการคลิกเปิดหนึ่งครั้งบวกการวางระเบียนหนึ่งที่ registrar ของคุณ Microsoft 365 และ Google Workspace จัดการอีเมล ไม่ใช่ DNS zone ของคุณตามปกติ

'DS' และ 'DNSKEY' คืออะไร — และทำไมหน้านี้กล่าวถึงทั้งสอง?

พวกมันเป็นสองครึ่งของล็อคเดียว DNSKEY คือ key ที่ DNS provider ของคุณเก็บและใช้ sign ระเบียนของคุณ DS คือลายนิ้วมือของ key นั้น เผยแพร่หนึ่งระดับขึ้นที่ registrar ของคุณเพื่อให้ส่วนที่เหลือของอินเทอร์เน็ตสามารถยืนยันว่า key เป็นของคุณจริงๆ ทั้งสองต้องมีอยู่และต้องตรงกัน