هل يحتاج نطاقي إلى DNSSEC؟

ليس بدقة. والحماية التي توفرها ذات معنى ولكنها جزئية. بالنسبة لمعظم المواقع الشخصية، فإن التكلفة التشغيلية لتشغيل DNSSEC تفوق الفوائد. بالنسبة للمواقع التي تتعامل مع المعاملات المالية أو الخدمات الحكومية أو الأهداف ذات القيمة العالية، يضيف DNSSEC بالإضافة إلى DANE طبقة دفاعية جديرة بالاهتمام.

هل سيمنع DNSSEC جميع هجمات DNS؟

لا، يمنع DNSSEC التلاعب باستجابة DNS على السلك، ولكنه لا يمنع: خادم موثوق ضار يكذب بتوقيعات صالحة، أو الاستيلاء على حساب المسجل (ينشر المهاجم مفاتيح جديدة)، أو الهجمات ضد عنوان IP الوجهة بعد حل DNS شرعي. إنها طبقة وليست حلاً كاملاً.

لماذا لا يتحقق متصفحي من DNSSEC؟

تقوم المتصفحات بتفويض التحقق من DNSSEC إلى محلل البيانات الذي تم تكوينه. إذا قام المحلل بالتحقق من صحة الإجابات السيئة ورفضها، فلن يراها المتصفح أبدًا. كانت هناك مقترحات للتحقق من جانب المتصفح لكنها لم يتم اعتمادها. استخدم محلل التحقق (1.1.1.1، 9.9.9.9) وستحصل على فوائد DNSSEC.

ماذا يحدث إذا واجه النطاق الموقع بواسطة DNSSEC مشكلة؟

فشل التحقق من الصحة وأرجعت معظم أدوات الحل SERVFAIL. يبدو المجال غير قابل للوصول. لقد حدث هذا أثناء الإنتاج (كان انقطاع HBO Max في عام 2021 نتيجة لتكوين خاطئ لـ DNSSEC). المقايضة: عندما يعمل DNSSEC، يكون آمنًا؛ عندما ينكسر ينكسر بصوت عالٍ.

هل DNSSEC هو نفس DNS عبر HTTPS؟

لا، يضيف DNSSEC التوقيعات إلى استجابات DNS للتحقق من صحتها. يقوم DNS عبر HTTPS (DoH) بتشفير استعلامات DNS أثناء النقل. إنها متكاملة ومن الأفضل استخدامها معًا.

شرح DNSSEC: إضافة التوقيعات المشفرة إلى عمليات بحث DNS

DNS، وهو النظام الذي يترجم أسماء مثل example.com إلى عناوين IP، تم تصميمه في عام 1983 بدون مصادقة. تم قبول أي إجابة تدعي أنها من خادم موثوق للمجال. يعمل DNSSEC على إصلاح ذلك من خلال ربط التوقيعات المشفرة بكل سجل DNS، مما يسمح للعملاء بالتحقق من عدم التلاعب بالإجابة. لقد كان اعتماده بطيئًا، ولكن حيثما تم نشره، كان ناجحًا.

يتم توفير نص المقالة الكامل باللغة الإنجليزية أدناه.

DNSSEC (امتدادات أمان نظام اسم المجال) يضيف توقيعات التشفير إلى سجلات DNS، مما يسمح للعملاء بالتحقق من صحة وسلامة استجابات DNS. بدون DNSSEC، يمكن لمهاجم الشبكة انتحال ردود DNS وإعادة توجيه حركة المرور إلى الخوادم التي يتحكم فيها المهاجم - أساس اختطاف DNS. مع DNSSEC، تفشل الردود المخادعة في التحقق من التوقيع ويتم رفضها.

ما يضيفه DNSSEC

أربعة أنواع سجلات جديدة:

RRSIG - توقيع على مجموعة من السجلات. يحتوي كل سجل موقع على RRSIG.
DNSKEY - المفتاح العام المستخدم للتحقق من توقيعات RRSIG لمنطقة ما.
DS (موقع التفويض) - يقع في المنطقة الأصلية، مشيرًا إلى DNSKEY في الطفل. إنشاء سلسلة الثقة. يثبت
NSEC/NSEC3 أن الاسم غير موجود في المنطقة. ضروري لأن "هذا الاسم غير موجود" هو أيضًا إجابة تحتاج إلى المصادقة.

كيفية عمل التحقق

للتحقق من عنوان IP الخاص بـ example.com:

Resolver يستعلم example.com للسجل A. الحصول على IP بالإضافة إلى توقيع RRSIG. يستعلم
Resolver عن example.com لـ DNSKEY (مفتاح توقيع المنطقة، ZSK). يتحقق
Resolver من RRSIG باستخدام ZSK.
للتحقق من DNSKEY نفسه، يستعلم المحلل عن المنطقة الأصلية (.com) لسجل DS الخاص example.com.
يحتوي سجل DS على تجزئة DNSKEY الخاص بـ example.com، موقعة بواسطة مفاتيح .com.
يتكرر هذا حتى الجذر، الذي يكون مفتاحه العام مشفرًا في أدوات الحل.

النتيجة النهائية: سلسلة تم التحقق منها من الجذر عبر .com إلى example.com، وتنتهي عند سجل A الأصلي. تم اكتشاف أي تلاعب في أي خطوة. أنواع المفاتيح والتدوير

DNSSEC يستخدم نوعين من المفاتيح لكل منطقة:

مفتاح التوقيع (ZSK).يوقع السجلات الفعلية (A، MX، TXT، وما إلى ذلك). يتم التدوير بشكل متكرر (من أشهر إلى سنة) لأنه يتم استخدامه كثيرًا.
Key-Signing Key (KSK). يوقع ZSK. نادرًا ما يتم تدويرها لأنها نقطة الربط التي تشير إليها المنطقة الأصلية. يتطلب تدويره التنسيق مع المسجل لتحديث سجل DS.

يتم تدوير KSK الجذر مرة واحدة تقريبًا كل خمس سنوات. كان تناوب عام 2017 هو الأول على الإطلاق ويتطلب سنوات من الإعداد لضمان حصول وحدات الحل في جميع أنحاء العالم على المفتاح العام الجديد.

Adoption

DNSSEC اعتماد غير متساو:

TLD المستوى: يتم توقيع معظم نطاقات TLD الرئيسية. .com، .org، .net، .gov، ومعظم رموز البلدان.
مستوى المجال: ما يقرب من 5% من نطاقات .com تم تمكين DNSSEC اعتبارًا من عام 2026 - نمو بطيء.
مستوى الحل: جميع أدوات الحل العامة الرئيسية (1.1.1.1، 8.8.8.8، 9.9.9.9) التحقق من صحة DNSSEC. معظم محللي خدمات الإنترنت يفعلون ذلك أيضًا. تلك التي لا تقوم ببساطة بإرجاع ما تحصل عليه دون التحقق.
Client مستوى: تثق معظم أنظمة التشغيل في محللها الذي تم تكوينه للتحقق من صحته؛ لا يقومون بالتحقق من التوقيعات بأنفسهم. تقوم بعض التطبيقات وتطبيقات DNS-over-HTTPS بالتحقق من جانب العميل.

لماذا يكون الاعتماد بطيئًا

العديد من العوائق:

التعقيد التشغيلي. يجب إنشاء المفاتيح، وإعادة إنشاء التوقيعات عندما تتغير السجلات، وتدويرها بانتظام. يؤدي التكوين الخاطئ إلى قطع المجال بالكامل (يُرجع كل محلل SERVFAIL).
Lاستجابات DNS الأكبر. الاستجابات الموقعة أكبر بعدة مرات من الاستجابات غير الموقعة. افترضت البنية التحتية القديمة لنظام DNS أن الاستجابات ستتناسب مع حزم UDP الفردية؛ غالبًا ما لا تكون الاستجابات الموقعة كذلك، مما يتطلب احتياطي TCP.
Lفائدة محدودة للمستخدم النهائي. DNSSEC يحمي من التلاعب بطبقة DNS ولكن ليس ضد كون عنوان IP الوجهة ضارًا. لا يلاحظ معظم المستخدمين وجود DNSSEC أو عدم وجوده.
بدائل أفضل لبعض حالات الاستخدام. يحمي DNS المشفر (DoH، DoT، DNSCrypt) استعلامات DNS من التلاعب على المسار، والذي يعالج الكثير من نفس التهديد مع تعقيد أقل.

DNSSEC مقابل المشفر DNS

يقوم الاثنان بحل المشكلات المتداخلة ولكن المتميزة:

DNSSEC يثبت أن الإجابة أصلية وغير متلاعب بها. لا يزال الاستعلام نفسه مرئيًا للشبكة.
يخفي DNS المشفر الاستعلام والإجابة من الشبكة، لكنه لا يثبت أن الإجابة أصلية - فهو يثق فقط في محلل البيانات الذي تم تكوينه.

أقوى إعداد: DNS مشفر إلى محلل التحقق من DNSSEC. قم بإخفاء الاستعلام أثناء النقل، وتحقق من الإجابة بطريقة مشفرة. Cloudflare 1.1.1.1 وGoogle 8.8.8.8 عبر DoH يوفران كليهما اليوم.

DANE: ما يتيحه DNSSEC

تقنية واحدة يفتحها DNSSEC هي DANE (مصادقة الكيانات المسماة المستندة إلى DNS). تنشر DANE بصمات شهادة TLS في DNS، مؤمنة بواسطة DNSSEC. يمكن للمتصفح التحقق من شهادة موقع الويب عن طريق الاستعلام عن DNS بدلاً من الاعتماد فقط على المراجع المصدقة. الاعتماد محدود (يستخدم في الغالب لـ SMTP، وليس HTTPS، بسبب سياسات تنفيذ المتصفح).

كيفية التحقق مما إذا كان النطاق موقعًا بواسطة DNSSEC

فحص سطر الأوامر: dig +dnssec example.com — تتضمن الاستجابة التوقيعات إذا تم تمكين DNSSEC. تعرض الأدوات عبر الإنترنت مثل DNSSEC-Analyzer (Verisign Labs) سلسلة الثقة الكاملة بشكل مرئي. يمكن لملحقات المتصفح وضع علامة على حالة التحقق من DNSSEC لكل صفحة.

الأسئلة المتداولة

هل يحتاج نطاقي إلى DNSSEC؟: ليس بدقة. والحماية التي توفرها ذات معنى ولكنها جزئية. بالنسبة لمعظم المواقع الشخصية، فإن التكلفة التشغيلية لتشغيل DNSSEC تفوق الفوائد. بالنسبة للمواقع التي تتعامل مع المعاملات المالية أو الخدمات الحكومية أو الأهداف ذات القيمة العالية، يضيف DNSSEC بالإضافة إلى DANE طبقة دفاعية جديرة بالاهتمام.
هل سيمنع DNSSEC جميع هجمات DNS؟: لا، يمنع DNSSEC التلاعب باستجابة DNS على السلك، ولكنه لا يمنع: خادم موثوق ضار يكذب بتوقيعات صالحة، أو الاستيلاء على حساب المسجل (ينشر المهاجم مفاتيح جديدة)، أو الهجمات ضد عنوان IP الوجهة بعد حل DNS شرعي. إنها طبقة وليست حلاً كاملاً.
لماذا لا يتحقق متصفحي من DNSSEC؟: تقوم المتصفحات بتفويض التحقق من DNSSEC إلى محلل البيانات الذي تم تكوينه. إذا قام المحلل بالتحقق من صحة الإجابات السيئة ورفضها، فلن يراها المتصفح أبدًا. كانت هناك مقترحات للتحقق من جانب المتصفح لكنها لم يتم اعتمادها. استخدم محلل التحقق (1.1.1.1، 9.9.9.9) وستحصل على فوائد DNSSEC.
ماذا يحدث إذا واجه النطاق الموقع بواسطة DNSSEC مشكلة؟: فشل التحقق من الصحة وأرجعت معظم أدوات الحل SERVFAIL. يبدو المجال غير قابل للوصول. لقد حدث هذا أثناء الإنتاج (كان انقطاع HBO Max في عام 2021 نتيجة لتكوين خاطئ لـ DNSSEC). المقايضة: عندما يعمل DNSSEC، يكون آمنًا؛ عندما ينكسر ينكسر بصوت عالٍ.
هل DNSSEC هو نفس DNS عبر HTTPS؟: لا، يضيف DNSSEC التوقيعات إلى استجابات DNS للتحقق من صحتها. يقوم DNS عبر HTTPS (DoH) بتشفير استعلامات DNS أثناء النقل. إنها متكاملة ومن الأفضل استخدامها معًا.