A domainemnek szüksége van DNSSEC-re?

Nem szigorúan. Az általa nyújtott védelem értelmes, de részleges. A legtöbb személyes webhely esetében a DNSSEC üzemeltetési költsége meghaladja az előnyöket. A pénzügyi tranzakciókat, kormányzati szolgáltatásokat vagy nagy értékű célpontokat kezelő webhelyek esetében a DNSSEC plus DANE értékes védelmi réteget ad hozzá.

Megakadályozza a DNSSEC az összes DNS-támadást?

Nem. A DNSSEC megakadályozza a DNS-válasz manipulálását a vezetéken, de nem akadályozza meg: egy rosszindulatú, hiteles kiszolgáló érvényes aláírásokkal, a regisztrátor fiókok átvétele (a támadó új kulcsokat tesz közzé), vagy a cél IP-cím elleni támadások jogszerű DNS-feloldás után. Ez egy réteg, nem teljes megoldás.

Miért nem ellenőrzi a böngészőm a DNSSEC-et?

A böngészők átruházzák a DNSSEC érvényesítését a konfigurált feloldóra. Ha a feloldó érvényesíti és visszautasítja a rossz válaszokat, a böngésző soha nem látja azokat. Voltak javaslatok a böngészőoldali érvényesítésre, de nem nyertek elfogadást. Használjon érvényesítő feloldót (1.1.1.1, 9.9.9.9), és élvezheti a DNSSEC előnyeit.

Mi történik, ha egy DNSSEC-aláírt tartomány problémába ütközik?

Az érvényesítés sikertelen, és a legtöbb feloldó a SERVFAIL-t adja vissza. A domain elérhetetlennek tűnik. Ez megtörtént az éles üzemben (az HBO Max 2021-es leállása DNSSEC hibás konfigurációja volt). A kompromisszum: amikor a DNSSEC működik, akkor biztonságos; ha törik hangosan törik.

A DNSSEC ugyanaz, mint a HTTPS-n keresztüli DNS?

Nem. A DNSSEC aláírásokat ad a DNS-válaszokhoz a hitelesség ellenőrzése érdekében. A HTTPS-n keresztüli DNS (DoH) titkosítja az átvitel közbeni DNS-lekérdezéseket. Kiegészítik egymást, és a legjobb együtt használni.

A DNSSEC magyarázata: Kriptográfiai aláírások hozzáadása a DNS-keresésekhez

A DNS-t, az olyan neveket, mint például az example.com IP-címekké fordító rendszert 1983-ban tervezték hitelesítés nélkül. Minden olyan választ elfogadtunk, amely azt állítja, hogy egy domain mérvadó szerverétől származik. A DNSSEC kijavítja ezt azáltal, hogy minden DNS-rekordhoz kriptográfiai aláírásokat csatol, így az ügyfelek ellenőrizhetik, hogy a választ nem manipulálták-e. Az elfogadás lassú volt, de ahol telepítik, ott működik.

A cikk teljes szövege alább olvasható angol nyelven.

DNSSEC (Domain Name System Security Extensions) Az kriptográfiai aláírásokat ad a DNS-rekordokhoz, lehetővé téve az ügyfelek számára a DNS-válaszok hitelességének és integritásának ellenőrzését. DNSSEC nélkül a hálózati támadók meghamisíthatják a DNS-válaszokat, és átirányíthatják a forgalmat a támadó által vezérelt szerverekre – ez az DNS-eltérítés alapja. A DNSSEC segítségével a meghamisított válaszok aláírás-ellenőrzése meghiúsul, és visszautasításra kerül.

Mit ad hozzá a DNSSEC

Négy új rekordtípus:

RRSIG – aláírás egy rekordkészlet felett. Minden aláírt rekordhoz tartozik egy megfelelő RRSIG.
DNSKEY – a zóna RRSIG-aláírásainak ellenőrzésére használt nyilvános kulcs.
DS (Delegation Signer) – a szülőzónában helyezkedik el, és az utód DNSKEY-re mutat. Létrehozza a bizalmi láncot.
NSEC/NSEC3 — bizonyítja, hogy a zónában NEM létezik név. Szükséges, mert „ez a név nem létezik” egyben hitelesítésre szoruló válasz is.

Az ellenőrzés működése

Az example.com IP-címének ellenőrzése:

Resolver lekérdezések example.com az A rekordhoz. Lekéri az IP-címet és egy RRSIG-aláírást. Az
Resolver lekérdezi az example.com webhelyet a DNSKEY-hez (a zóna-aláíró kulcs, ZSK). Az
Resolver a ZSK.
segítségével ellenőrzi az RRSIG-t a DNSKEY-rekordok ellenőrzéséhez (a DNSKEYcom szülőzónája, a DSque-rekord feloldója). example.com.
A DS rekord az example.com DNS-KEY-jének hash-jét tartalmazza, amelyet a .com kulcsai írnak alá.
Ez visszatér a gyökérig, amelynek nyilvános kulcsa a feloldókban van merevkódolva.

A végeredmény a gyökértől a com-ig, a lánc végén ellenőrizve. rekordot. Bármely lépésnél minden manipulációt észlel.

Kulcstípusok és forgatás

DNSSEC zónánként két kulcstípust használ:

Zóna-aláíró kulcs (ZSK). Aláírja az aktuális rekordokat, (TXT, stb.). Gyakran forgatják (hónaptól egy évig), mert sokat használják.
Kulcs-aláíró kulcs (KSK). A ZSK-t írja alá. Ritkán elforgatva, mert ez az a rögzítési pont, amelyre a szülőzóna hivatkozik. Az elforgatásához egyeztetni kell a regisztrátorral a DS-rekord frissítéséhez.

A gyökér KSK-t körülbelül ötévente egyszer elforgatják. A 2017-es rotáció volt az első és évekig tartó felkészülés volt annak biztosítása érdekében, hogy a feloldók világszerte rendelkezzenek az új nyilvános kulccsal.

Adopció

DNSSEC elfogadása egyenetlen:

TLD szint: A legtöbb előjelű TLD-k. .com, .org, .net, .gov, a legtöbb országkód.
Domain szint: A .com domainek nagyjából 5%-án van engedélyezve a DNSSEC 2026-tól kezdődően – lassú növekedés.
ReZver7 (1.1.1.1, 8.8.8.8, 9.9.9.9) érvényesítse a DNSSEC-et. A legtöbb ISP-feloldó is ezt teszi. Azok, amelyek nem egyszerűen visszaküldik azt, amit ellenőrzés nélkül kapnak.
kliensszint: A legtöbb operációs rendszer a beállított feloldójában bízik az érvényesítésben; ők maguk nem ellenőrzik az aláírásokat. Néhány alkalmazás és DNS-over-HTTPS implementáció kliensoldali érvényesítést végez.

Miért lassú az elfogadás

Számos akadály:

Működési összetettség.-kor újra kell generálni a rekordokat, a kulcsokat újra kell generálni, az aláírásokat módosítani kell. A hibás konfiguráció teljesen megszakítja a tartományt (minden feloldó SERVFAIL-t ad vissza).
Nagyobb DNS-válaszok. Az aláírt válaszok többszörösei az aláíratlannak. A régi DNS-infrastruktúra azt feltételezi, hogy a válaszok egyetlen UDP-csomagba illeszkednek; az aláírt válaszok gyakran nem, ezért TCP-visszaesést igényel.
Korlátozott végfelhasználói előny. A DNSSEC véd a DNS-réteg manipulálása ellen, de nem az ellen, hogy a cél IP rosszindulatú legyen. A legtöbb felhasználó nem veszi észre, hogy a DNSSEC mikor van vagy nincs.
Jobb alternatívák bizonyos felhasználási esetekre. A titkosított DNS (DoH, DoT, DNSCrypt) megvédi a DNS-lekérdezéseket az útvonalon történő manipulációtól, amely ugyanannak a fenyegetésnek a nagy részét kevesebbel kezeli. összetettség.

DNSSEC vs titkosított DNS

A kettő átfedő, de eltérő problémákat old meg:

DNSSEC bizonyítja, hogy a válasz hiteles és sértetlen. Maga a lekérdezés továbbra is látható a hálózat számára.
Titkosított DNS elrejti a lekérdezést és a választ a hálózat elől, de nem bizonyítja a válasz hitelességét – csak megbízik a konfigurált feloldóban.

A legerősebb beállítás: titkosított DNS-t DNSSEC-val azonosító DNSSEC-val. A lekérdezés elrejtése továbbítás közben, a válasz kriptográfiai ellenőrzése. A Cloudflare 1.1.1.1 és a Google 8.8.8.8 over DoH ma mindkettőt biztosítja.

DANE: amit a DNSSEC tesz lehetővé

A DNSSEC egyik downstream technológiája az DANE (DNS-alapú névvel rendelkező entitások DNS-alapú hitelesítése5X). A DANE közzéteszi a TLS-tanúsítvány ujjlenyomatait a DNS-ben, amelyet a DNSSEC véd. A böngésző DNS-lekérdezéssel tudja ellenőrizni a webhely tanúsítványát ahelyett, hogy kizárólag a tanúsító hatóságokra hagyatkozna. Az elfogadás korlátozott (a böngésző megvalósítási politikája miatt többnyire SMTP-hez használják, nem HTTPS-hez).

Hogyan ellenőrizhető, hogy egy tartomány DNSSEC-aláírt-e

Parancssori ellenőrzés: dig +dnsec example.com – ha a DNSECS aláírást is tartalmaz. Az olyan online eszközök, mint a DNSSEC-Analyzer (Verisign Labs), vizuálisan megmutatják a bizalom teljes láncát. A böngészőbővítmények oldalanként megjelölhetik a DNSSEC érvényesítési állapotát.

Gyakran ismételt kérdések

A domainemnek szüksége van DNSSEC-re?: Nem szigorúan. Az általa nyújtott védelem értelmes, de részleges. A legtöbb személyes webhely esetében a DNSSEC üzemeltetési költsége meghaladja az előnyöket. A pénzügyi tranzakciókat, kormányzati szolgáltatásokat vagy nagy értékű célpontokat kezelő webhelyek esetében a DNSSEC plus DANE értékes védelmi réteget ad hozzá.
Megakadályozza a DNSSEC az összes DNS-támadást?: Nem. A DNSSEC megakadályozza a DNS-válasz manipulálását a vezetéken, de nem akadályozza meg: egy rosszindulatú, hiteles kiszolgáló érvényes aláírásokkal, a regisztrátor fiókok átvétele (a támadó új kulcsokat tesz közzé), vagy a cél IP-cím elleni támadások jogszerű DNS-feloldás után. Ez egy réteg, nem teljes megoldás.
Miért nem ellenőrzi a böngészőm a DNSSEC-et?: A böngészők átruházzák a DNSSEC érvényesítését a konfigurált feloldóra. Ha a feloldó érvényesíti és visszautasítja a rossz válaszokat, a böngésző soha nem látja azokat. Voltak javaslatok a böngészőoldali érvényesítésre, de nem nyertek elfogadást. Használjon érvényesítő feloldót (1.1.1.1, 9.9.9.9), és élvezheti a DNSSEC előnyeit.
Mi történik, ha egy DNSSEC-aláírt tartomány problémába ütközik?: Az érvényesítés sikertelen, és a legtöbb feloldó a SERVFAIL-t adja vissza. A domain elérhetetlennek tűnik. Ez megtörtént az éles üzemben (az HBO Max 2021-es leállása DNSSEC hibás konfigurációja volt). A kompromisszum: amikor a DNSSEC működik, akkor biztonságos; ha törik hangosan törik.
A DNSSEC ugyanaz, mint a HTTPS-n keresztüli DNS?: Nem. A DNSSEC aláírásokat ad a DNS-válaszokhoz a hitelesség ellenőrzése érdekében. A HTTPS-n keresztüli DNS (DoH) titkosítja az átvitel közbeni DNS-lekérdezéseket. Kiegészítik egymást, és a legjobb együtt használni.