Tarvitseeko verkkotunnukseni DNSSEC:n?

Ei tiukasti. Sen tarjoama suoja on merkityksellinen, mutta osittainen. Useimmissa henkilökohtaisissa sivustoissa DNSSEC:n käyttökustannukset ovat suuremmat kuin hyödyt. DNSSEC plus DANE lisää arvokkaan suojakerroksen sivustoille, jotka käsittelevät rahoitustapahtumia, valtion palveluita tai arvokkaita kohteita.

Estääkö DNSSEC kaikki DNS-hyökkäykset?

Ei. DNSSEC estää DNS-vastauksen peukaloinnin langassa, mutta se ei estä: haitallista, arvovaltaista palvelinta, joka valehtelee kelvollisilla allekirjoituksilla, rekisterinpitäjän tilin haltuunottoa (hyökkääjä julkaisee uudet avaimet) tai hyökkäyksiä kohde-IP:tä vastaan laillisen DNS-ratkaisun jälkeen. Se on kerros, ei täydellinen ratkaisu.

Miksi selaimeni ei tarkista DNSSEC:tä?

Selaimet delegoivat DNSSEC-tarkistuksen määritetylle ratkaisijalle. Jos ratkaisija vahvistaa ja hylkää huonot vastaukset, selain ei koskaan näe niitä. Selainpuolen validoinnista tehtiin ehdotuksia, mutta ne eivät saaneet hyväksyntää. Käytä validointiratkaisua (1.1.1.1, 9.9.9.9) ja saat DNSSEC:n edut.

Mitä tapahtuu, jos DNSSEC-allekirjoitetussa toimialueella on ongelma?

Vahvistus epäonnistuu ja useimmat ratkaisijat palauttavat SERVFAIL. Verkkotunnus ei näytä olevan tavoitettavissa. Tämä on tapahtunut tuotannossa (HBO Maxin vuoden 2021 katkos oli DNSSEC-virhe). Kompromissi: kun DNSSEC toimii, se on turvallinen; kun se hajoaa, se rikkoutuu äänekkäästi.

Onko DNSSEC sama kuin DNS HTTPS:n kautta?

Ei. DNSSEC lisää allekirjoituksia DNS-vastauksiin varmistaakseen aitouden. DNS HTTPS:n kautta (DoH) salaa siirrettävät DNS-kyselyt. Ne täydentävät toisiaan ja niitä on parasta käyttää yhdessä.

DNSSEC selitetty: kryptografisten allekirjoitusten lisääminen DNS-hakuihin

DNS, järjestelmä, joka kääntää nimet, kuten example.com, IP-osoitteiksi, suunniteltiin vuonna 1983 ilman todennusta. Kaikki vastaukset, joiden väitettiin olevan peräisin verkkotunnuksen arvovaltaiselta palvelimelta, hyväksyttiin. DNSSEC korjaa tämän liittämällä salausallekirjoitukset jokaiseen DNS-tietueeseen, jolloin asiakkaat voivat varmistaa, että vastausta ei ole peukaloitu. Hyväksyminen on ollut hidasta, mutta missä se on otettu käyttöön, se toimii.

Artikkelin koko runko on englanniksi alla.

DNSSEC (Domain Name System Security Extensions) lisää kryptografiset allekirjoitukset DNS-tietueisiin, jolloin asiakkaat voivat varmistaa DNS-vastausten aitouden ja eheyden. Ilman DNSSEC:tä verkkohyökkääjä voi huijata DNS-vastauksia ja ohjata liikennettä hyökkääjän ohjaamille palvelimille – DNS-kaappauksen:n perusta. DNSSEC:n avulla väärennetyt vastaukset epäonnistuvat allekirjoituksen vahvistamisessa ja ne hylätään.

Mitä DNSSEC lisää

Neljä uutta tietuetyyppiä:

RRSIG — tietuejoukon yli oleva allekirjoitus. Jokaisella allekirjoitetulla tietueella on vastaava RRSIG.
DNSKEY — julkinen avain, jota käytetään vyöhykkeen RRSIG-allekirjoitusten tarkistamiseen.
DS (Delegation Signer) — sijaitsee ylätason DNSKEY-vyöhykkeessä osoittaen alatason DNSKEY:tä. Muodostaa luottamusketjun.
NSEC/NSEC3 — osoittaa, että vyöhykkeellä EI ole nimeä. Tarpeellinen, koska "tätä nimeä ei ole olemassa" on myös vastaus, joka on todennettava.

Kuinka vahvistus toimii

Varmistaaksesi example.com:n IP-osoitteen:

Resolver-kyselyt example.com A-tietueelle. Saa IP-osoitteen ja RRSIG-allekirjoituksen.
Resolver kyselee example.com-sivustoa DNS-avaimelleen (vyöhykkeen allekirjoitusavain, ZSK).
Resolver tarkistaa RRSIG:n käyttämällä ZSK.
Varmistaakseen DNSKEYriesin, itse DNSKEY-tietueen (DNS-kyselyn päävyöhykkeen. example.com.
DS-tietue sisältää tiivisteen example.com-osoitteesta DNS-Avain, joka on allekirjoitettu .com-sivuston avaimilla.
Tämä toistuu juureen, jonka julkinen avain on koodattu ratkaisejiin.

Lopputulos A:n loppuun ketjussa juuri esimerkkiin. ennätys. Kaikki peukalointi missä tahansa vaiheessa havaitaan.

Avaintyypit ja kierto

DNSSEC käyttää kahta avaintyyppiä vyöhykettä kohti:

Zone-Signing Key (ZSK). Allekirjoittaa todelliset MX-tietueet, (TXT, jne.). Kierretään usein (kuukausista vuoteen), koska sitä on käytetty paljon.
Key-Signing Key (KSK). Allekirjoittaa ZSK:n. Kierretään harvoin, koska se on ankkuripiste, johon päävyöhyke viittaa. Sen kiertäminen edellyttää koordinointia rekisterinpitäjän kanssa DS-tietueen päivittämiseksi.

Juuri-KSK:ta vaihdetaan noin kerran viidessä vuodessa. Vuoden 2017 kierto oli kaikkien aikojen ensimmäinen ja vaati valmistautumisvuosia sen varmistamiseksi, että ratkaisejilla maailmanlaajuisesti oli uusi julkinen avain.

Adoption

DNSSEC-käyttöönotto on epätasaista:

TLD-taso:-merkityksellisimmät TLD:t. .com, .org, .net, .gov, useimmat maakoodit.
Domain level: Noin 5 %:ssa .com-verkkotunnuksista DNSSEC on käytössä vuodesta 2026 lähtien – hidas kasvu.
ReZver7-taso9 (1.1.1.1, 8.8.8.8, 9.9.9.9) vahvistaa DNSSEC:n. Useimmat ISP-selvittäjät tekevät samoin. Sellaiset, jotka eivät yksinkertaisesti palauta mitä tahansa saamaansa ilman vahvistusta.
Asiakastaso: Useimmat käyttöjärjestelmät luottavat määritettyyn ratkaisijaan. he eivät itse tarkista allekirjoituksia. Muutamat sovellukset ja DNS-over-HTTPS-toteutukset suorittavat asiakaspuolen vahvistuksen.

Miksi käyttöönotto on hidasta

Useita esteitä:

Toiminnan monimutkaisuus. kun tietuemuutoksia on luotava säännöllisesti, avaimia on luotava säännöllisesti. Virheellinen määritys rikkoo toimialueen kokonaan (jokainen ratkaisija palauttaa SERVFAILin).
Suuremmat DNS-vastaukset. Allekirjoitetut vastaukset ovat useita kertoja suurempia kuin allekirjoittamattomat. Vanha DNS-infrastruktuuri olettaa, että vastaukset mahtuisivat yksittäisiin UDP-paketteihin; allekirjoitetut vastaukset eivät useinkaan tee sitä, mikä vaatii TCP-varaa.
Rajoitettu loppukäyttäjäetu. DNSSEC suojaa DNS-kerroksen peukaloitumiselta, mutta ei siltä, että kohde-IP on haitallinen. Useimmat käyttäjät eivät huomaa, milloin DNSSEC on tai ei ole olemassa.
Paremmat vaihtoehdot joihinkin käyttötapauksiin. Salattu DNS (DoH, DoT, DNSCrypt) suojaa DNS-kyselyitä polulla tapahtuvalta peukaloitumiselta, mikä korjaa suuren osan samasta uhasta pienemmällä määrällä. monimutkaisuus.

DNSSEC vs. salattu DNS

Nämä kaksi ratkaisevat päällekkäisiä mutta erillisiä ongelmia:

DNSSEC todistaa, että vastaus on aito ja ehjä. Itse kysely näkyy edelleen verkossa.
Salattu DNS piilottaa kyselyn ja vastauksen verkosta, mutta ei todista, että vastaus on aito – se vain luottaa määritettyyn ratkaisijaan.

Vahvin asennus: salattu DNS tunnistaa DNSSEC-valin. Piilota kysely siirron aikana, tarkista vastaus kryptografisesti. Cloudflare 1.1.1.1 ja Google 8.8.8.8 over DoH tarjoavat molemmat nykyään.

DANE: mitä DNSSEC mahdollistaa

Yksi loppupään tekniikka, jonka DNSSEC avaa, on DANE (DNS-pohjainen nimettyjen PLZ1-entiteettien todennus5X). DANE julkaisee TLS-varmenteen sormenjäljet DNS:ssä DNSSEC:n suojaamana. Selain voi vahvistaa verkkosivuston varmenteen tekemällä kyselyn DNS:ltä sen sijaan, että se luottaisi pelkästään varmenteen myöntäjiin. Käyttöönotto on rajoitettu (käytetään enimmäkseen SMTP:lle, ei HTTPS:lle, selaimen toteutuspolitiikan vuoksi).

Kuinka tarkistaa, onko toimialue DNSSEC-allekirjoitettu

Komentorivin tarkistus: dig +dnssec example.com — vastaus on käytössä, jos DNSEC on käytössä. Verkkotyökalut, kuten DNSSEC-Analyzer (Verisign Labs), näyttävät koko luottamusketjun visuaalisesti. Selainlaajennukset voivat merkitä DNSSEC-tarkistustilan sivukohtaisesti.

Usein kysytyt kysymykset

Tarvitseeko verkkotunnukseni DNSSEC:n?: Ei tiukasti. Sen tarjoama suoja on merkityksellinen, mutta osittainen. Useimmissa henkilökohtaisissa sivustoissa DNSSEC:n käyttökustannukset ovat suuremmat kuin hyödyt. DNSSEC plus DANE lisää arvokkaan suojakerroksen sivustoille, jotka käsittelevät rahoitustapahtumia, valtion palveluita tai arvokkaita kohteita.
Estääkö DNSSEC kaikki DNS-hyökkäykset?: Ei. DNSSEC estää DNS-vastauksen peukaloinnin langassa, mutta se ei estä: haitallista, arvovaltaista palvelinta, joka valehtelee kelvollisilla allekirjoituksilla, rekisterinpitäjän tilin haltuunottoa (hyökkääjä julkaisee uudet avaimet) tai hyökkäyksiä kohde-IP:tä vastaan laillisen DNS-ratkaisun jälkeen. Se on kerros, ei täydellinen ratkaisu.
Miksi selaimeni ei tarkista DNSSEC:tä?: Selaimet delegoivat DNSSEC-tarkistuksen määritetylle ratkaisijalle. Jos ratkaisija vahvistaa ja hylkää huonot vastaukset, selain ei koskaan näe niitä. Selainpuolen validoinnista tehtiin ehdotuksia, mutta ne eivät saaneet hyväksyntää. Käytä validointiratkaisua (1.1.1.1, 9.9.9.9) ja saat DNSSEC:n edut.
Mitä tapahtuu, jos DNSSEC-allekirjoitetussa toimialueella on ongelma?: Vahvistus epäonnistuu ja useimmat ratkaisijat palauttavat SERVFAIL. Verkkotunnus ei näytä olevan tavoitettavissa. Tämä on tapahtunut tuotannossa (HBO Maxin vuoden 2021 katkos oli DNSSEC-virhe). Kompromissi: kun DNSSEC toimii, se on turvallinen; kun se hajoaa, se rikkoutuu äänekkäästi.
Onko DNSSEC sama kuin DNS HTTPS:n kautta?: Ei. DNSSEC lisää allekirjoituksia DNS-vastauksiin varmistaakseen aitouden. DNS HTTPS:n kautta (DoH) salaa siirrettävät DNS-kyselyt. Ne täydentävät toisiaan ja niitä on parasta käyttää yhdessä.