Defaults.Exposed › Cách khắc phục › DNSSEC

Cách khắc phục DNSSEC

DNSSEC là con dấu kỹ thuật số trên sổ địa chỉ tên miền của bạn. Nó cho phép internet chứng minh rằng câu trả lời cho 'tên miền này sống ở đâu?' thực sự đến từ bạn và không bị can thiệp trên đường đi. Không có nó, câu trả lời có thể bị làm giả — và khách truy cập của bạn âm thầm bị gửi đi nơi khác.

Điểm mấu chốt với doanh nghiệp bạn: Không có DNSSEC, kẻ tấn công có thể đầu độc câu trả lời DNS có thể chỉ khách hàng của bạn đến một bản sao hoàn hảo trang của bạn trong khi trình duyệt của họ vẫn hiển thị tên miền thật của bạn. Thông tin đăng nhập, số thẻ và dữ liệu cá nhân bị thu thập, và bạn chỉ biết từ chargeback và khiếu nại. Thiết lập DNSSEC hỏng nửa chừng còn tệ hơn: nó có thể làm trang của bạn không thể tiếp cận với một phần ngày càng tăng của khách truy cập mà không có lỗi nào bạn sẽ bao giờ nhận thấy.

Điều này có thể gây thiệt hại gì

• Khách truy cập gõ tên miền thật của bạn bị chuyển hướng âm thầm đến một trang giống hệt chụp mật khẩu và thông tin thẻ — và vì thanh địa chỉ hiển thị tên miền của bạn suốt thời gian, không ai nghi ngờ gì cho đến khi báo cáo gian lận đến.
• Email của bạn bị âm thầm chuyển hướng: kẻ tấn công làm giả câu trả lời cho mail server của bạn, đọc hoặc chặn tin nhắn, và đặt lại mật khẩu trên tài khoản gửi email mã cho bạn — tất cả mà không đụng vào hộp thư của bạn.
• Thiết lập DNSSEC được cấu hình nửa chừng (con dấu công khai tồn tại nhưng khóa tương ứng bị thiếu) làm website và email của bạn ngẫu nhiên thất bại với khách hàng trên ISP lớn và mạng doanh nghiệp — báo cáo 'trang của bạn ngừng hoạt động với tôi' không liên tục mà bạn không thể tái tạo.
• Nhóm bảo mật của khách hàng tiềm năng chạy kiểm tra trước hợp đồng, thấy không có DNSSEC, và đánh giá thấp hơn là yếu về cơ bản — đặt thỏa thuận vào rủi ro vì cài đặt miễn phí.
• Người mua khu vực công và B2B lớn hơn ngày càng kỳ vọng DNSSEC là cơ bản (nó được đặt tên trong các quy định như NIS2); vắng mặt của nó âm thầm loại bạn khỏi các gói thầu trước khi cuộc trò chuyện thậm chí bắt đầu.

Tại sao điều này quan trọng. DNS là sổ địa chỉ của internet, và theo mặc định câu trả lời của nó đi không ký — bất kỳ ai có thể lén vào một câu trả lời giả có thể gửi khách hàng và email của bạn đến bất cứ đâu họ muốn, với tên miền thật của bạn vẫn hiển thị trong trình duyệt. DNSSEC đặt con dấu chống can thiệp trên những câu trả lời đó để chúng có thể được xác minh là thực sự của bạn. Bản sửa miễn phí ở hầu hết nhà cung cấp; chi phí thực sự duy nhất là làm sai, đó là lý do tại sao chúng tôi hướng dẫn qua cả hai nửa cẩn thận.

DNSSEC, giải thích đơn giản

Mỗi lần ai đó truy cập website của bạn hoặc gửi email cho bạn, máy tính của họ trước tiên hỏi internet một câu hỏi đơn giản: “tên miền này thực sự sống ở đâu?” Câu trả lời — tập địa chỉ cho trang và mail server của bạn — đến từ DNS, sổ địa chỉ của internet.

Đây là phần không thoải mái: theo mặc định, những câu trả lời đó đi không ký. Không có gì được đính kèm để chứng minh câu trả lời là thật. Nếu ai đó có thể lén vào câu trả lời giả vào cuộc trò chuyện đó — và có các cách được biết đến, đã chứng minh để làm chính xác điều đó — máy tính của khách truy cập sẽ vui vẻ chấp nhận nó. Từ thời điểm đó, khách truy cập có thể đang nói chuyện với máy chủ của kẻ tấn công trong khi trình duyệt của họ vẫn hiển thị tên miền của bạn trong thanh địa chỉ.

DNSSEC là bản sửa. Nó thêm con dấu kỹ thuật số chống can thiệp vào câu trả lời DNS của bạn. Khi DNSSEC được bật, internet có thể xác minh toán học rằng câu trả lời thực sự đến từ bạn và không bị thay đổi trên đường. Câu trả lời giả thất bại kiểm tra và bị loại bỏ. Đó là sự khác biệt giữa sổ địa chỉ mà bất kỳ ai có thể viết nguệch ngoạc vào và sổ nơi mỗi mục được ký và chứng kiến.

Trang này bao gồm hai phần kiểm tra của chúng tôi nhìn vào cùng nhau: liệu con dấu có được xuất bản không (bản ghi DS) và liệu khóa tương ứng đằng sau nó có thực sự tồn tại không (bản ghi DNSKEY). Bạn sẽ thấy tại sao cả hai quan trọng sớm thôi — vì có một cái mà không có cái kia là rắc rối riêng của nó.

Điều này có thể khiến bạn mất gì

• Chuyển hướng vô hình. Kẻ tấn công đầu độc câu trả lời DNS cho tên miền của bạn. Khách hàng gõ địa chỉ web thật của bạn, thấy tên miền thật của bạn trong thanh, và hạ cánh trên bản sao hoàn hảo trang đăng nhập hoặc thanh toán của bạn được host bởi kẻ tấn công. Mọi mật khẩu và số thẻ họ nhập đi thẳng đến tội phạm. Bạn nghe về nó chỉ khi chargeback và cuộc gọi “tôi bị hack qua trang của bạn” bắt đầu — và dấu vết dẫn về thương hiệu của bạn, không phải của kẻ tấn công.
• Chặn email âm thầm. DNS không chỉ trỏ đến website của bạn; nó trỏ đến mail server của bạn. Làm giả câu trả lời đó và email đến có thể được chuyển qua kẻ tấn công trước. Chúng đọc tin nhắn nhạy cảm, thu thập mã một lần mà các dịch vụ email để “xác minh đó là bạn,” và đặt lại mật khẩu trên tài khoản gắn với tên miền của bạn — tất cả mà không bao giờ đăng nhập vào hộp thư của bạn.
• Sự cố bạn không thể tái tạo. Cái này đến từ thiết lập DNSSEC hỏng nửa chừng. Con dấu công khai (DS) đang ngồi tại registrar của bạn, nhưng khóa tương ứng (DNSKEY) bị thiếu hoặc sai. Khách truy cập trên ISP và mạng doanh nghiệp kiểm tra DNSSEC — và có nhiều hơn mỗi năm — đơn giản không thể phân giải tên miền của bạn. Trang và email của bạn hoạt động tốt với bạn và kỹ thuật của bạn, nhưng một phần khách hàng thật nhận “trang này không thể tiếp cận” mà không có lỗi nào bạn có thể thấy. Đây là một trong những vấn đề khó chẩn đoán nhất chính xác vì nó vô hình từ bên trong.
• Thỏa thuận bị mất. Nhóm bảo mật hoặc thu mua của khách hàng tiềm năng chạy quét thường quy trước hợp đồng tên miền của bạn. Không có DNSSEC xuất hiện như dấu đỏ trên “cơ bản bảo mật DNS.” Với kiểm soát miễn phí, được hiểu rõ, vắng mặt của nó đọc là sự bất cẩn — và nó có thể âm thầm tốn bạn hợp đồng bạn không bao giờ biết đang gặp nguy hiểm.
• Gói thầu bạn thậm chí không đủ điều kiện. Các quy định và danh sách kiểm tra người mua ngày càng đặt tên DNSSEC là vệ sinh cơ bản mong đợi (nó được tham chiếu theo các điều khoản bảo mật DNS của NIS2). Người mua B2B lớn hơn và khu vực công có thể lọc bạn ra trước khi cuộc trò chuyện bán hàng bắt đầu, chỉ đơn giản vì ô chưa được đánh dấu.

Thực ra nó là gì

DNSSEC hoạt động như một chuỗi tin tưởng, và nó có hai phần chuyển động phải đồng ý với nhau. Đây là trái tim của lý do tại sao kiểm tra của chúng tôi nhìn vào hai thứ.

DNSKEY — khóa của bạn. Nhà cung cấp DNS của bạn giữ khóa mã hóa và dùng nó để ký bản ghi DNS của bạn. Nửa công khai của khóa đó được xuất bản như bản ghi DNSKEY. Hãy nghĩ nó như con dấu được giữ ở phía bạn.

Bản ghi DS — vân tay xác nhận khóa. Vân tay ngắn của khóa đó, gọi là bản ghi DS (Delegation Signer), được xuất bản một cấp lên — tại registry tên miền của bạn, qua registrar của bạn. Đây là điều cho phép phần còn lại của internet tin tưởng khóa của bạn: mỗi cấp xác nhận cho cấp dưới nó, lên đến gốc của internet. DS là con dấu được đăng ký chính thức để mọi người khác có thể nhận ra nó.

Để DNSSEC thực sự bảo vệ bạn, cả hai phải hiện diện và phải khớp:

• DS hiện diện + DNSKEY hiện diện và khớp → tốt. Chuỗi tin tưởng hoàn chỉnh. Câu trả lời giả bị từ chối; câu trả lời hợp lệ xác minh. Đây là trạng thái “đạt”.
• Không có DS (và không có DNSKEY) → DNSSEC đơn giản chưa bật. Bạn không có bảo vệ, nhưng không có gì bị hỏng. Đây là trạng thái “chưa làm” phổ biến nhất.
• DS hiện diện, nhưng DNSKEY thiếu hoặc không khớp → hỏng, và tệ hơn là tắt. Internet thấy con dấu được xuất bản trỏ đến khóa không có ở đó. Các resolver xác thực kết luận tên miền của bạn đã bị can thiệp và từ chối phân giải nó — gây ra sự cố không liên tục được mô tả ở trên. Đây là trạng thái khẩn cấp nhất để sửa, và kiểm tra của chúng tôi gắn cờ nó là nghiêm trọng cao.
• DNSKEY hiện diện, nhưng không có DS tại registrar → được bật nhưng chưa kích hoạt. Bản ghi của bạn được ký, nhưng vì vân tay không bao giờ được đăng ký một cấp trên, phần còn lại của internet không có cách nào tin tưởng chúng. Bạn làm công việc mà không có bảo vệ. Bản sửa là thêm bản ghi DS tại registrar.

“Tốt” trông như thế nào, trong một dòng: bản ghi DS tại registrar mà vân tay khớp với DNSKEY live tại nhà cung cấp DNS, cả hai được xác nhận với tra cứu nhanh.

Cách sửa (miễn phí, ~10–30 phút)

Chuyển phần này cho người quản lý tên miền hoặc website của bạn. Bản sửa miễn phí ở hầu hết nhà cung cấp — chi phí duy nhất là làm cẩn thận để hai nửa vẫn đồng bộ. Chúng tôi chỉ tính phí nếu sau này bạn muốn chúng tôi theo dõi rằng nó vẫn được bật đúng.

Quy tắc vàng: bật ký trước (tạo DNSKEY), sau đó xuất bản bản ghi DS tại registrar — không bao giờ ngược lại, và không bao giờ một mà không có cái kia. Xuất bản DS trước khi khóa tồn tại chính xác là điều gây ra sự cố.

Con đường đơn giản (được khuyến nghị — Cloudflare):

1. Trong Cloudflare, đảm bảo Cloudflare thực sự chạy DNS của bạn (nameserver của bạn trỏ đến Cloudflare).
2. Đến DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare tạo và quản lý khóa cho bạn (điều này tạo phía DNSKEY tự động).
3. Cloudflare hiển thị chi tiết bản ghi DS để xuất bản tại registrar của bạn.
4. Đăng nhập vào registrar tên miền của bạn (ví dụ GoDaddy, Namecheap, OVH) và tìm phần DNSSEC. Dán vào các giá trị DS mà Cloudflare cung cấp.
5. Chờ 24–48 giờ để lan truyền đầy đủ. Trang và email của bạn tiếp tục hoạt động suốt.

Nhà cung cấp DNS khác (AWS Route 53, web host của bạn, v.v.):

1. Trong bảng điều khiển của nhà cung cấp DNS, bật DNSSEC / “ký zone này.” Điều này tạo khóa ký và xuất bản bản ghi DNSKEY.
2. Sao chép bản ghi DS mà nhà cung cấp tạo ra.
3. Thêm bản ghi DS đó tại registrar của bạn dưới cài đặt DNSSEC.
4. Xác nhận registrar chấp nhận nó và chờ lan truyền.

Ghi chú nền tảng:

• Cloudflare — bật một-click, sau đó một dán DS tại registrar. Con đường dễ nhất cho đến nay.
• AWS Route 53 — bật ký DNSSEC trên hosted zone, sau đó thêm bản ghi DS tại registrar tên miền của bạn (nếu tên miền được đăng ký với Route 53, AWS có thể liên kết nó cho bạn).
• Microsoft 365 / Google Workspace — những thứ này chạy email của bạn, không phải thường vùng DNS. DNSSEC được bật bất cứ nơi nào bản ghi DNS thực sự sống (thường registrar, host, hoặc Cloudflare), không phải trong trung tâm admin 365/Workspace.
• Nhà cung cấp DNS không hỗ trợ DNSSEC? Phổ biến với host cũ hơn hoặc ngân sách. Bản sửa sạch là di chuyển quản lý DNS đến nhà cung cấp hỗ trợ (Cloudflare miễn phí), sau đó theo con đường đơn giản ở trên. Di chuyển DNS không yêu cầu di chuyển website hoặc email.

Xác minh nó đã hoạt động:

• Chạy dig DS yourdomain.com và dig DNSKEY yourdomain.com — cả hai nên trả về bản ghi.
• Hoặc dùng bất kỳ công cụ kiểm tra DNSSEC trực tuyến miễn phí nào và xác nhận chuỗi tin tưởng màu xanh/hợp lệ.
• Đừng coi là xong cho đến khi cả hai trả về bản ghi khớp. DS không có DNSKEY là trạng thái hỏng — sửa hoặc xóa nó ngay lập tức.

Các lỗi phổ biến

• Xuất bản DS trước khi khóa tồn tại. Lỗi gây thiệt hại duy nhất: thêm bản ghi DS tại registrar trước khi ký thực sự live tại nhà cung cấp DNS. Điều này tạo ra trạng thái “con dấu được xuất bản, khóa thiếu” làm tên miền của bạn không thể phân giải cho khách truy cập kiểm tra DNSSEC. Luôn bật ký trước, sau đó xuất bản DS.
• Để DS cũ lại sau khi chuyển nhà cung cấp. Nếu bạn di chuyển nhà cung cấp DNS (hoặc vô hiệu hóa ký) nhưng quên xóa hoặc cập nhật bản ghi DS cũ tại registrar, bạn còn trỏ đến khóa không còn tồn tại — kết quả hỏng tương tự. Khi bạn tắt DNSSEC hoặc di chuyển nó, cập nhật DS tại registrar trong cùng thay đổi.
• Dừng sau bước một. Bật ký tại nhà cung cấp DNS (tạo DNSKEY) nhưng không bao giờ thêm DS tại registrar. Mọi thứ trông “bật” trong bảng điều khiển DNS, nhưng không có DS bảo vệ không bao giờ kích hoạt. Bạn làm công việc và không nhận được lợi ích nào.
• Giả sử HTTPS hoặc xác thực email đã bao gồm nó. Ổ khóa và xác thực email (SPF / DKIM / DMARC) có giá trị nhưng giải quyết các vấn đề khác nhau. Không cái nào trong số đó ngăn câu trả lời DNS giả gửi khách truy cập đến nơi sai ngay từ đầu.
• Không theo dõi sau khi bật. Khóa được cuộn, nhà cung cấp thay đổi, bản ghi được chỉnh sửa. Thiết lập hoàn hảo hôm nay có thể âm thầm hỏng nhiều tháng sau. Nếu DNSSEC đủ quan trọng để bật, đáng có kiểm tra định kỳ rằng nó vẫn hợp lệ.

Điều này nằm ở đâu trong điểm của bạn

Cả hai kiểm tra này tính vào điểm Bảo mật DNS của bạn. Kiểm tra bản ghi DS được coi là ưu tiên cao hơn trong hai: DS bị thiếu là khoảng cách thật và được tính là thất bại. Kiểm tra DNSKEY xác nhận phần còn lại của chuỗi còn nguyên vẹn — nó chỉ đạt khi DS khớp và DNSKEY cả hai hiện diện, và nó gắn cờ trạng thái “DS-không-có-khóa” nguy hiểm là nghiêm trọng cao. Kết quả “DNSSEC đơn giản chưa được bật” sạch sẽ là điểm bắt đầu phổ biến cho nhiều doanh nghiệp; di chuyển từ đó đến cặp DS + DNSKEY đầy đủ, khớp là nâng cấp miễn phí, được hiểu rõ cải thiện vị thế Bảo mật DNS và xóa bỏ con đường thật cho mạo danh và chặn.

Cài đặt trên nhà cung cấp hosting của bạn

Từng bước cho các nhà cung cấp phổ biến:

• Cài đặt DNSSEC trên GoDaddy
• Cài đặt DNSSEC trên Namecheap
• Cài đặt DNSSEC trên Cloudflare
• Cài đặt DNSSEC trên AWS Route 53

FAQ