Defaults.Exposed › การแก้ไข › DNSSEC
วิธีแก้ไข DNSSEC
DNSSEC เป็นตราประทับดิจิทัลบนสมุดที่อยู่โดเมนของคุณ มันช่วยให้อินเทอร์เน็ตพิสูจน์ว่าคำตอบของ 'โดเมนนี้อยู่ที่ไหน?' มาจากคุณจริงๆ และไม่ถูกดัดแปลงระหว่างทาง หากไม่มีมัน คำตอบสามารถถูกปลอมแปลง — และผู้เข้าชมของคุณถูกส่งไปที่อื่นอย่างเงียบๆ
สรุปสำหรับธุรกิจของคุณ: โดยไม่มี DNSSEC ผู้โจมตีที่สามารถ poison คำตอบ DNS สามารถชี้ลูกค้าของคุณไปยังสำเนาที่สมบูรณ์แบบของเว็บไซต์ของคุณในขณะที่เบราว์เซอร์ของมันยังแสดงชื่อโดเมนจริงของคุณ การเข้าสู่ระบบ หมายเลขบัตร และข้อมูลส่วนตัวถูกรวบรวม และคุณพบมันจาก chargebacks และข้อร้องเรียนเท่านั้น การตั้งค่า DNSSEC ที่ค้างอยู่ครึ่งทางแย่กว่า: มันสามารถทำให้เว็บไซต์ของคุณไม่สามารถเข้าถึงได้สำหรับส่วนแบ่งที่เพิ่มขึ้นของผู้เข้าชมโดยไม่มีข้อผิดพลาดที่คุณจะสังเกตได้
สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย
- ผู้เข้าชมที่พิมพ์โดเมนจริงของคุณถูกเปลี่ยนเส้นทางอย่างเงียบๆ ไปยัง look-alike ที่จับรหัสผ่านและรายละเอียดบัตรของพวกมัน — และเพราะแถบที่อยู่แสดงโดเมนของคุณตลอดเวลา ไม่มีใครสงสัยจนกระทั่งรายงานการฉ้อโกงมาถึง
- อีเมลของคุณถูกเปลี่ยนเส้นทางอย่างเงียบๆ: ผู้โจมตีปลอมแปลงคำตอบสำหรับ mail server ของคุณ อ่านหรือดักจับข้อความ และรีเซ็ตรหัสผ่านบนบัญชีที่อีเมลให้โค้ดสำหรับคุณ — ทั้งหมดโดยไม่แตะ inbox ของคุณ
- การตั้งค่า DNSSEC ที่กำหนดค่าครึ่งทาง (ตราประทับสาธารณะมีอยู่แต่ key ที่ตรงกันหายไป) ทำให้เว็บไซต์และอีเมลของคุณล้มเหลวแบบสุ่มสำหรับลูกค้าบน ISP ขนาดใหญ่และเครือข่ายองค์กร — รายงาน 'เว็บไซต์ของคุณล่มสำหรับฉัน' ที่ไม่สม่ำเสมอที่คุณไม่สามารถจำลองได้
- ทีมความปลอดภัยของผู้มีโอกาสเป็นลูกค้ารัน pre-contract check เห็นว่าไม่มี DNSSEC และทำเครื่องหมายคุณลงเป็นอ่อนแอในพื้นฐาน — ทำให้ดีลอยู่ในความเสี่ยงบน free setting
- ผู้ซื้อภาครัฐและ B2B ขนาดใหญ่คาดหวัง DNSSEC มากขึ้นเป็น baseline (มันถูกตั้งชื่อในกฎระเบียบเช่น NIS2) การขาดมันอาจตัดสิทธิ์คุณจากการประมูลก่อนที่การสนทนาจะเริ่มด้วยซ้ำ
เหตุใดจึงสำคัญ DNS เป็นสมุดที่อยู่ของอินเทอร์เน็ต และตามค่าเริ่มต้นคำตอบของมันเดินทางโดยไม่ signed — ใครก็ตามที่สามารถแทรกการตอบกลับปลอมสามารถส่งลูกค้าและอีเมลของคุณไปที่ใดก็ได้ที่พวกมันต้องการ โดยที่โดเมนจริงของคุณยังคงแสดงในเบราว์เซอร์ DNSSEC ใส่ตราประทับป้องกันการดัดแปลงบนคำตอบเหล่านั้นเพื่อให้สามารถยืนยันได้ว่าเป็นของคุณจริงๆ การแก้ไขฟรีที่ผู้ให้บริการส่วนใหญ่ ค่าใช้จ่ายจริงเพียงอย่างเดียวคือการทำมันผิด ซึ่งเป็นเหตุผลที่เราดำเนินการทั้งสองครึ่งอย่างรอบคอบ
วิธีแก้ไข ทีละขั้นตอน
- ตรวจสอบการรองรับ registrar และ DNS host. ยืนยันทั้ง registrar และ DNS host ของคุณรองรับ DNSSEC ก่อนเริ่ม
- เปิด signing ที่ DNS host ของคุณ. เปิด DNSSEC โดย host sign zone ของคุณและสร้างระเบียน DS
- เผยแพร่ระเบียน DS ที่ registrar ของคุณ. คัดลอกระเบียน DS เข้าการตั้งค่า DNSSEC ของ registrar เพื่อทำให้ chain of trust สมบูรณ์
- รอให้ propagate. รอ 24-48 ชั่วโมงและอย่าสลับ DNS host ระหว่างทาง หรือคุณสามารถทำลาย resolution
- ยืนยันว่ามันทำงาน. ตรวจสอบใหม่เพื่อยืนยันว่า chain of trust ถูกต้องจนถึงปลาย
DNSSEC เป็นคำพูดง่ายๆ
ทุกครั้งที่มีคนเข้าชมเว็บไซต์ของคุณหรือส่งอีเมลถึงคุณ คอมพิวเตอร์ของมันถามคำถามง่ายๆ กับอินเทอร์เน็ตก่อน: “โดเมนนี้อยู่ที่ไหนจริงๆ?” คำตอบ — ชุดที่อยู่สำหรับเว็บไซต์และ mail server ของคุณ — กลับมาจาก DNS สมุดที่อยู่ของอินเทอร์เน็ต
นี่คือส่วนที่น่าอึดอัด: ตามค่าเริ่มต้น คำตอบเหล่านั้นเดินทางโดยไม่ signed ไม่มีอะไรแนบมาเพื่อพิสูจน์ว่าคำตอบเป็นของแท้ ถ้าใครสามารถแทรกการตอบกลับปลอมในการสนทนานั้น — และมีวิธีที่รู้จักและพิสูจน์แล้วในการทำสิ่งนั้น — คอมพิวเตอร์ของผู้เข้าชมจะยอมรับมันอย่างยินดี จากจุดนั้นเป็นต้นไป ผู้เข้าชมสามารถคุยกับเซิร์ฟเวอร์ของผู้โจมตีในขณะที่เบราว์เซอร์ของมันยังแสดงชื่อโดเมนของคุณในแถบที่อยู่
DNSSEC คือการแก้ไข มันเพิ่มตราประทับดิจิทัลป้องกันการดัดแปลงในคำตอบ DNS ของคุณ เมื่อ DNSSEC เปิด อินเทอร์เน็ตสามารถยืนยันทางคณิตศาสตร์ว่าคำตอบมาจากคุณจริงๆ และไม่ถูกเปลี่ยนแปลงระหว่างทาง การตอบกลับปลอมล้มเหลวในการตรวจสอบและถูกโยนทิ้ง
หน้านี้ครอบคลุมสองส่วนที่การตรวจสอบของเรามองพร้อมกัน: ว่าตราประทับถูกเผยแพร่ (ระเบียน DS) และ ว่า key ที่ตรงกันเบื้องหลังมันมีอยู่จริง (ระเบียน DNSKEY)
สิ่งนี้อาจทำให้คุณสูญเสียอะไร
-
การเปลี่ยนเส้นทางล่องหน ผู้โจมตี poison คำตอบ DNS สำหรับโดเมนของคุณ ลูกค้าพิมพ์ที่อยู่เว็บจริงของคุณ เห็นโดเมนจริงของคุณในแถบที่อยู่ และลงจอดบนสำเนาที่สมบูรณ์แบบของ login หรือหน้า checkout ที่โฮสต์โดยผู้โจมตี รหัสผ่านและหมายเลขบัตรทุกอันที่พวกมันป้อนไปตรงถึงอาชญากร คุณได้ยินเกี่ยวกับมันเฉพาะเมื่อ chargebacks และ “ฉันถูก hack ผ่านเว็บไซต์ของคุณ” เริ่ม
-
การดักจับอีเมลอย่างเงียบ DNS ไม่เพียงชี้ไปยังเว็บไซต์ของคุณ มันชี้ไปยัง mail server ของคุณด้วย ปลอมแปลงคำตอบนั้นและอีเมลขาเข้าสามารถถูกเปลี่ยนเส้นทางผ่านผู้โจมตีก่อน พวกมันอ่านข้อความที่ละเอียดอ่อน รวบรวมโค้ดครั้งเดียวที่บริการส่งอีเมลมาเพื่อ “ยืนยันว่าเป็นคุณ” และรีเซ็ตรหัสผ่านบนบัญชีที่ผูกกับโดเมนของคุณ
-
การหยุดทำงานที่คุณไม่สามารถจำลองได้ อันนี้มาจากการตั้งค่า DNSSEC ที่ค้างอยู่ครึ่งทาง ตราประทับสาธารณะ (DS) อยู่ที่ registrar ของคุณ แต่ key ที่ตรงกัน (DNSKEY) หายไปหรือผิด ผู้เข้าชมบน ISP และเครือข่ายองค์กรที่ตรวจสอบ DNSSEC — และมีมากขึ้นทุกปี — ไม่สามารถ resolve โดเมนของคุณได้เลย เว็บไซต์และอีเมลของคุณทำงานได้ดีสำหรับคุณและเทคโนโลยี แต่ส่วนแบ่งของลูกค้าจริงได้รับ “ไม่สามารถเข้าถึงเว็บไซต์นี้” โดยไม่มีข้อผิดพลาดที่คุณสามารถเห็นได้ นี่คือสถานะที่เร่งด่วนที่สุดในการแก้ไข
-
ดีลที่สูญหาย ทีมความปลอดภัยหรือการจัดซื้อของผู้มีโอกาสเป็นลูกค้ารันการสแกนก่อนสัญญาตามปกติบนโดเมนของคุณ ไม่มี DNSSEC แสดงขึ้นเป็นรอยแดงใน “DNS security basics” สำหรับ free well-understood control การขาดมันอ่านว่าเลอะเลินหน้าที่ — และมันสามารถค่อยๆ ทำให้คุณสูญเสียสัญญาที่คุณไม่เคยรู้ว่าอยู่ในอันตราย
มันคืออะไรจริงๆ
DNSSEC ทำงานเป็น chain of trust และมีสองส่วนที่เคลื่อนไหวที่ต้องตกลงกัน
DNSKEY — key ของคุณ DNS provider ของคุณเก็บ cryptographic key และใช้มันเพื่อsign ระเบียน DNS ของคุณ ครึ่งสาธารณะของ key นั้นถูกเผยแพร่เป็นระเบียน DNSKEY คิดว่ามันเป็นตราประทับที่ฝั่งของคุณ
ระเบียน DS — ลายนิ้วมือที่รับรอง key ลายนิ้วมือสั้นๆ ของ key นั้น เรียกว่าระเบียน DS (Delegation Signer) เผยแพร่หนึ่งระดับขึ้น — ที่ registry ของโดเมนของคุณ ผ่าน registrar ของคุณ สิ่งนี้ช่วยให้ส่วนที่เหลือของอินเทอร์เน็ตไว้วางใจ key ของคุณ
สำหรับ DNSSEC จะปกป้องคุณจริงๆ ทั้งสองต้องมีอยู่และต้องตรงกัน:
- DS มีอยู่ + DNSKEY มีอยู่และตรงกัน → ดี chain of trust สมบูรณ์ คำตอบปลอมถูกปฏิเสธ นี่คือสถานะ “ผ่าน”
- ไม่มี DS (และไม่มี DNSKEY) → DNSSEC ไม่ได้เปิด คุณไม่มีการปกป้อง แต่ไม่มีอะไรเสียหาย นี่คือสถานะ “ยังไม่ทำ” ที่พบบ่อยที่สุด
- DS มีอยู่ แต่ DNSKEY หายไปหรือไม่ตรงกัน → เสียหาย และแย่กว่าปิด อินเทอร์เน็ตเห็นตราประทับที่เผยแพร่ที่ชี้ไปยัง key ที่ไม่มีอยู่ Validating resolvers สรุปว่าโดเมนของคุณถูกดัดแปลงและปฏิเสธที่จะ resolve มัน — ทำให้เกิดการหยุดทำงานเป็นระยะๆ นี่คือสถานะที่เร่งด่วนที่สุดในการแก้ไข
- DNSKEY มีอยู่ แต่ไม่มี DS ที่ registrar → เปิดแต่ไม่ถูกเปิดใช้ ระเบียนของคุณถูก signed แต่เพราะลายนิ้วมือไม่เคยลงทะเบียนหนึ่งระดับขึ้น ส่วนที่เหลือของอินเทอร์เน็ตไม่มีทางไว้วางใจพวกมัน
สิ่งที่ “ดี” ดูเหมือน: ระเบียน DS ที่ registrar ของคุณที่ลายนิ้วมือตรงกับ DNSKEY ที่ยังมีชีวิตที่ DNS provider ของคุณ ทั้งสองยืนยันด้วยการค้นหาอย่างรวดเร็ว
วิธีแก้ไข (ฟรี ~10–30 นาที)
ส่งส่วนนี้ให้ผู้ที่จัดการโดเมนหรือเว็บไซต์ของคุณ การแก้ไขตัวเองฟรีที่ผู้ให้บริการส่วนใหญ่
กฎทองคำ: เปิด signing ก่อน (ซึ่งสร้าง DNSKEY) จากนั้นเผยแพร่ระเบียน DS ที่ registrar — ไม่ใช่ทางอื่น และไม่ใช่หนึ่งโดยไม่มีอีกอัน การเผยแพร่ DS ก่อนที่ key มีอยู่เป็นสิ่งที่ทำให้เกิดการหยุดทำงาน
เส้นทางง่าย (แนะนำ — Cloudflare):
- ใน Cloudflare ตรวจสอบให้แน่ใจว่า Cloudflare รัน DNS ของคุณจริงๆ (nameserver ของคุณชี้ไปยัง Cloudflare)
- ไปที่ DNS → Settings → DNSSEC → Enable DNSSEC Cloudflare สร้างและจัดการ key ให้คุณ (สร้างด้าน DNSKEY โดยอัตโนมัติ)
- Cloudflare แสดงรายละเอียดระเบียน DS เพื่อเผยแพร่ที่ registrar ของคุณ
- เข้าสู่ระบบdomain registrar ของคุณ (เช่น Blacknight, GoDaddy, Namecheap, OVH) และหาส่วน DNSSEC วางค่า DS ที่ Cloudflare ให้คุณ
- รอ 24–48 ชั่วโมงสำหรับ propagation เต็ม เว็บไซต์และอีเมลของคุณทำงานต่อไปตลอดเวลา
DNS provider อื่น (AWS Route 53, โฮสต์เว็บของคุณ ฯลฯ):
- ใน control panel ของ DNS provider เปิด DNSSEC / “sign this zone” สิ่งนี้สร้าง signing keys และเผยแพร่ระเบียน DNSKEY
- คัดลอกระเบียน DS ที่ผู้ให้บริการสร้าง
- เพิ่มระเบียน DS นั้นที่registrar ของคุณภายใต้การตั้งค่า DNSSEC
- ยืนยันว่า registrar ยอมรับมันและรอให้ propagate
ยืนยันว่ามันทำงาน:
- รัน
dig DS yourdomain.comและdig DNSKEY yourdomain.com— ทั้งสองควรส่งคืนระเบียน - หรือใช้ DNSSEC checker ออนไลน์ฟรีใดๆ และยืนยัน chain of trust สีเขียว/ถูกต้อง
- อย่าถือว่าเสร็จจนกว่าทั้งสองส่งคืนระเบียนที่ตรงกัน DS ที่ไม่มี DNSKEY คือสถานะเสียหาย — แก้ไขหรือลบมันทันที
ข้อผิดพลาดทั่วไป
- เผยแพร่ DS ก่อนที่ key มีอยู่ ข้อผิดพลาดที่ทำลายมากที่สุดเดียว: การเพิ่มระเบียน DS ที่ registrar ก่อนที่ signing มีชีวิตอยู่ที่ DNS provider สิ่งนี้สร้างสถานะ “ตราประทับที่เผยแพร่ key ที่หายไป” ที่ทำให้โดเมนของคุณไม่สามารถ resolve ได้สำหรับผู้เข้าชมที่ตรวจสอบ DNSSEC เปิด signing ก่อนเสมอ จากนั้นเผยแพร่ DS
- ทิ้ง DS เก่าไว้หลังจากสลับผู้ให้บริการ ถ้าคุณย้าย DNS provider (หรือปิด signing) แต่ลืมลบหรืออัปเดตระเบียน DS เก่าที่ registrar คุณถูกทิ้งให้ชี้ไปยัง key ที่ไม่มีอยู่อีกต่อไป — ผลลัพธ์เสียหายเดียวกัน เมื่อคุณปิด DNSSEC หรือย้ายมัน อัปเดต DS ที่ registrar ในการเปลี่ยนแปลงเดียวกัน
- หยุดหลังจากขั้นตอนที่หนึ่ง เปิด signing ที่ DNS provider (สร้าง DNSKEY) แต่ไม่เพิ่ม DS ที่ registrar ทุกอย่างดู “เปิด” ใน DNS dashboard แต่ไม่มี DS การป้องกันไม่มีวันเปิดใช้งาน
- สมมติว่า HTTPS หรือ email authentication ครอบคลุมมันแล้ว padlock และ email authentication (SPF / DKIM / DMARC) มีค่า แต่แก้ปัญหาที่ต่างกัน ไม่มีสิ่งเหล่านี้หยุดคำตอบ DNS ปลอมจากการส่งผู้เข้าชมไปที่ผิดตั้งแต่แรก
- ไม่ monitoring หลังจากเปิด Keys ถูก rolled, ผู้ให้บริการเปลี่ยน, ระเบียนได้รับการแก้ไข การตั้งค่าที่สมบูรณ์แบบวันนี้สามารถเสียหายอย่างเงียบๆ เดือนต่อมา
ที่นี่อยู่ในเกรดของคุณที่ไหน
การตรวจสอบทั้งสองนี้นับต่อ DNS Security score ของคุณ การตรวจสอบระเบียน DS ถือว่าเป็นลำดับความสำคัญสูงกว่าในสอง: DS ที่หายไปเป็นช่องว่างจริงและให้คะแนนเป็นความล้มเหลว การตรวจสอบ DNSKEY ยืนยันส่วนที่เหลือของ chain ที่สมบูรณ์ — มันผ่านเมื่อทั้ง DS และ DNSKEY มีอยู่และตรงกัน และทำเครื่องหมายสถานะ “DS-without-key” เสียหายอันตรายว่ามีความรุนแรงสูง ผลลัพธ์ “DNSSEC ไม่ได้เปิดใช้งานเลย” สะอาดเป็นจุดเริ่มต้นทั่วไปสำหรับธุรกิจหลายราย การย้ายจากที่นั่นไปยัง DS + DNSKEY pair ที่สมบูรณ์และตรงกันเป็นการอัปเกรดฟรีที่เป็นที่เข้าใจดีที่ปรับปรุงสถานะ DNS Security ของคุณและลบช่องทางจริงสำหรับการแอบอ้างและการดักจับ
ตั้งค่าบนโฮสต์ของคุณ
ทีละขั้นตอนสำหรับผู้ให้บริการยอดนิยม:
- ตั้งค่า DNSSEC บน GoDaddy
- ตั้งค่า DNSSEC บน Namecheap
- ตั้งค่า DNSSEC บน Cloudflare
- ตั้งค่า DNSSEC บน AWS Route 53
คำถามที่พบบ่อย
ฉันไม่ใช่คนเทคนิค — นี่เป็นสิ่งที่ฉันต้องจัดการเองไหม?
ไม่ คุณต้องเข้าใจว่าทำไมมันถึงสำคัญ (หน้านี้ครอบคลุมสิ่งนั้น) แต่การเปลี่ยนแปลงจริงอยู่ใน DNS และการตั้งค่า registrar ของโดเมนของคุณ ดังนั้นมันอยู่กับผู้ที่จัดการโดเมนหรือเว็บไซต์ของคุณ ส่งส่วน 'วิธีแก้ไข' ให้พวกมัน — มันฟรีและมักใช้เวลาน้อยกว่าครึ่งชั่วโมง
ถ้าเว็บไซต์ของฉันมี padlock (HTTPS) แล้ว ฉันไม่ได้รับการปกป้องแล้วไหม?
พวกมันปกป้องสิ่งต่างกัน padlock รักษาการเชื่อมต่อเมื่อผู้เข้าชมเข้าถึงเซิร์ฟเวอร์ที่ถูกต้อง DNSSEC ปกป้องขั้นตอนก่อนหน้านั้น — ตรวจสอบให้แน่ใจว่าพวกมันเข้าถึงเซิร์ฟเวอร์ที่ถูกต้องตั้งแต่แรก ผู้โจมตีที่ปลอมแปลง DNS ของคุณสามารถส่งผู้เข้าชมไปยังเซิร์ฟเวอร์ของพวกมันเองซึ่งสามารถมี padlock ถูกต้องของตัวเองบน look-alike domain หรือแม้แต่สำเนาของคุณ คุณต้องการทั้งสอง
การเปิด DNSSEC จะทำให้เว็บไซต์หรืออีเมลของฉันเสียหายไหม?
ทำในที่เดียวโดยผู้ให้บริการที่รองรับมัน ไม่ — ผู้ให้บริการสมัยใหม่จัดการ key ให้คุณและมันก็ทำงาน ความเสี่ยงมาจากการทำในสองขั้นตอนที่ไม่เชื่อมต่อและทำเสร็จเพียงขั้นตอนเดียว: เผยแพร่ตราประทับสาธารณะ (ระเบียน DS) ที่ registrar ของคุณในขณะที่ key ที่ตรงกัน (DNSKEY) หายไปหรือไม่ตรงกัน สถานะที่เสียหายนั้นแย่กว่าไม่มี DNSSEC และทำให้เกิดการหยุดทำงานเป็นระยะๆ ขั้นตอนด้านล่างเก็บทั้งสองครึ่งใน sync เพื่อไม่ให้เกิดเหตุการณ์นี้
เราโฮสต์กับ Cloudflare / Google Workspace / Microsoft 365 — นั้นครอบคลุมมันไหม?
ไม่อัตโนมัติ แต่มันทำให้ง่าย ที่ DNS ของคุณได้รับการจัดการเป็นสิ่งที่สำคัญ ถ้า Cloudflare รัน DNS ของคุณ มันเป็นการคลิกเปิดหนึ่งครั้งบวกการวางระเบียนหนึ่งที่ registrar ของคุณ Microsoft 365 และ Google Workspace จัดการอีเมล ไม่ใช่ DNS zone ของคุณตามปกติ
'DS' และ 'DNSKEY' คืออะไร — และทำไมหน้านี้กล่าวถึงทั้งสอง?
พวกมันเป็นสองครึ่งของล็อคเดียว DNSKEY คือ key ที่ DNS provider ของคุณเก็บและใช้ sign ระเบียนของคุณ DS คือลายนิ้วมือของ key นั้น เผยแพร่หนึ่งระดับขึ้นที่ registrar ของคุณเพื่อให้ส่วนที่เหลือของอินเทอร์เน็ตสามารถยืนยันว่า key เป็นของคุณจริงๆ ทั้งสองต้องมีอยู่และต้องตรงกัน