Adakah domain saya memerlukan DNSSEC?

Tidak tegas. Perlindungan yang diberikannya bermakna tetapi separa. Bagi kebanyakan tapak peribadi, kos operasi menjalankan DNSSEC melebihi manfaatnya. Untuk tapak yang mengendalikan transaksi kewangan, perkhidmatan kerajaan atau sasaran bernilai tinggi, DNSSEC plus DANE menambah lapisan pertahanan yang berbaloi.

Adakah DNSSEC akan menghalang semua serangan DNS?

Tidak. DNSSEC menghalang tindak balas DNS mengganggu wayar, tetapi ia tidak menghalang: pelayan berwibawa yang berniat jahat berbohong dengan tandatangan yang sah, pengambilalihan akaun pendaftar (penyerang menerbitkan kunci baharu) atau serangan terhadap IP destinasi selepas resolusi DNS yang sah. Ia adalah satu lapisan, bukan penyelesaian yang lengkap.

Mengapa penyemak imbas saya tidak menyemak DNSSEC?

Penyemak imbas mewakilkan pengesahan DNSSEC kepada penyelesai yang dikonfigurasikan. Jika penyelesai mengesahkan dan menolak jawapan yang tidak baik, penyemak imbas tidak pernah melihatnya. Terdapat cadangan untuk pengesahan sisi penyemak imbas tetapi ia tidak diterima pakai. Gunakan penyelesai yang mengesahkan (1.1.1.1, 9.9.9.9) dan anda mendapat faedah DNSSEC.

Apakah yang berlaku jika domain yang ditandatangani DNSSEC mempunyai masalah?

Pengesahan gagal dan kebanyakan penyelesai mengembalikan SERVFAIL. Domain kelihatan tidak dapat dicapai. Ini telah berlaku dalam pengeluaran (HBO Max terputus 2021 adalah salah konfigurasi DNSSEC). Tukar ganti: apabila DNSSEC berfungsi ia selamat; apabila ia pecah ia pecah dengan kuat.

Adakah DNSSEC sama dengan DNS melalui HTTPS?

Tidak. DNSSEC menambah tandatangan pada respons DNS untuk mengesahkan ketulenan. DNS melalui HTTPS (DoH) menyulitkan pertanyaan DNS dalam transit. Mereka saling melengkapi dan paling baik digunakan bersama.

DNSSEC Diterangkan: Menambah Tandatangan Kriptografi pada Carian DNS

DNS, sistem yang menterjemahkan nama seperti example.com ke dalam alamat IP, telah direka pada tahun 1983 tanpa pengesahan. Sebarang jawapan yang mendakwa daripada pelayan berwibawa domain telah diterima. DNSSEC membetulkannya dengan melampirkan tandatangan kriptografi pada setiap rekod DNS, membenarkan pelanggan mengesahkan bahawa jawapan itu tidak diusik. Penggunaan adalah perlahan, tetapi apabila ia digunakan, ia berfungsi.

Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.

DNSSEC (Sambungan Keselamatan Sistem Nama Domain) menambah tandatangan kriptografi pada rekod DNS, membenarkan pelanggan mengesahkan ketulenan dan integriti respons DNS. Tanpa DNSSEC, penyerang rangkaian boleh memalsukan balasan DNS dan mengubah hala trafik ke pelayan dikawal penyerang — asas kepada rampasan DNS. Dengan DNSSEC, balasan palsu gagal pengesahan tandatangan dan ditolak.

Apa yang ditambahkan oleh DNSSEC

Empat jenis rekod baharu:

RRSIG — tandatangan atas satu set rekod. Setiap rekod yang ditandatangani mempunyai RRSIG yang sepadan.
DNSKEY — kunci awam yang digunakan untuk mengesahkan tandatangan RRSIG untuk zon.
DS (Penandatangan Perwakilan) — terletak di zon induk, menghala ke zon induk. Mewujudkan rantaian amanah.
NSEC/NSEC3 — membuktikan bahawa nama TIDAK wujud dalam zon. Diperlukan kerana "nama ini tidak wujud" juga merupakan jawapan yang perlu disahkan.

Cara pengesahan berfungsi

TUntuk mengesahkan IP contoh.com:

Resolver pertanyaan example.com untuk rekod A. Mendapatkan IP serta tandatangan RRSIG.
Resolver bertanya contoh.com untuk DNSKEYnya (kunci tandatangan zon, ZSK).
Resolver mengesahkan RRSIG menggunakan ZSK.
Ta untuk mengesahkan DNSKEY itu sendiri, pertanyaan zon induk (DScom). example.com.
Rekod DS mengandungi cincang DNSKEY example.com, yang ditandatangani oleh kekunci .com.
Ini berulang sehingga ke akar, yang kunci awamnya dikodkan keras dalam penyelesai.

Hasil akhir dari rantaian contoh yang disahkan melalui A.com. rekod. Sebarang gangguan pada mana-mana langkah dikesan.

Jenis dan putaran kunci

DNSSEC menggunakan dua jenis kunci bagi setiap zon:

Zone-Signing Key (ZSK). Menandatangani rekod MX., dll., TXTA, dll. Diputar dengan kerap (berbulan hingga setahun) kerana ia banyak digunakan.
Kunci Tandatangan Kunci (KSK). Menandatangani ZSK. Jarang diputar kerana ia adalah titik utama yang dirujuk oleh zon induk. Memutarnya memerlukan penyelarasan dengan pendaftar untuk mengemas kini rekod DS.

KSK akar diputar lebih kurang sekali setiap lima tahun. Putaran 2017 merupakan tahun penyediaan yang pertama dan diperlukan untuk memastikan penyelesai di seluruh dunia mempunyai kunci awam baharu.

Adoption

DNSSEC Penerimaan tidak sekata:

TLD tahap: Kebanyakan TLD yang ditandatangani. .com, .org, .net, .gov, kebanyakan kod negara.
Tahap domain: Kira-kira 5% daripada domain .com mempunyai DNSSEC didayakan pada 2026 — pertumbuhan perlahan.
peringkat Penyelesai awam utama:1.X1. 8.8.8.8, 9.9.9.9) mengesahkan DNSSEC. Kebanyakan penyelesai ISP juga begitu. Sistem yang tidak hanya mengembalikan apa sahaja yang mereka dapat tanpa pengesahan.
Tahap pelanggan: Kebanyakan sistem pengendalian mempercayai penyelesai yang dikonfigurasikan untuk mengesahkan; mereka tidak menyemak sendiri tandatangan. Beberapa aplikasi dan pelaksanaan DNS-over-HTTPS melakukan pengesahan sisi klien.

Mengapa penerimaan pakai lambat

Beberapa halangan:

Kerumitan operasi. rekod yang dijana semula, dijana semula secara tetap, rekod kunci mesti dijana semula. Salah konfigurasi memecahkan domain sepenuhnya (setiap penyelesai mengembalikan SERVFAIL).
LRespons DNS yang lebih besar. Respons yang ditandatangani beberapa kali lebih besar daripada yang tidak ditandatangani. Infrastruktur DNS lama menganggap respons akan muat dalam paket UDP tunggal; respons yang ditandatangani selalunya tidak, memerlukan TCP sandaran.
Lfaedah pengguna akhir terhad. DNSSEC melindungi daripada gangguan lapisan DNS tetapi tidak terhadap IP destinasi yang berniat jahat. Kebanyakan pengguna tidak perasan apabila DNSSEC ada atau tiada.
Alternatif yang lebih baik untuk sesetengah kes penggunaan. DNS Disulitkan (DoH, DoT, DNSCrypt) melindungi pertanyaan DNS daripada gangguan pada laluan, yang menangani kebanyakan ancaman yang sama dengan kurang kerumitan.

DNSSEC lwn DNS yang disulitkan

Kedua-duanya menyelesaikan masalah yang bertindih tetapi berbeza:

DNSSEC membuktikan jawapannya adalah sahih dan tidak diganggu. Pertanyaan itu sendiri masih kelihatan kepada rangkaian.
DNS yang disulitkan menyembunyikan pertanyaan dan jawapan daripada rangkaian, tetapi tidak membuktikan jawapan itu sahih — ia hanya mempercayai penyelesai yang dikonfigurasikan.

Persediaan terkuat: disulitkan- DNS sah menyelesaikan DNSSE Sembunyikan pertanyaan dalam transit, sahkan jawapan secara kriptografi. Cloudflare 1.1.1.1 dan Google 8.8.8.8 melalui DoH menyediakan kedua-duanya hari ini.

DANE: apa yang DNSSEC dayakan

Satu teknologi hiliran yang dibuka kunci DNSSEC ialah DANE (Pengesahan Entiti Dinamakan berasaskan DNS.) DANE menerbitkan cap jari sijil TLS dalam DNS, dilindungi oleh DNSSEC. Penyemak imbas boleh mengesahkan sijil tapak web dengan menanyakan DNS dan bukannya bergantung sepenuhnya pada Pihak Berkuasa Sijil. Penggunaan adalah terhad (kebanyakannya digunakan untuk SMTP, bukan HTTPS, kerana politik pelaksanaan penyemak imbas).

Cara menyemak sama ada domain ditandatangani DNSSEC

Semakan baris perintah: dig +dnssec example.com — respons termasuk tandatangan jika DNSSEC didayakan. Alat dalam talian seperti DNSSEC-Analyzer (Verisign Labs) menunjukkan rantaian penuh kepercayaan secara visual. Sambungan penyemak imbas boleh membenderakan status pengesahan DNSSEC setiap halaman.

Soalan lazim

Adakah domain saya memerlukan DNSSEC?: Tidak tegas. Perlindungan yang diberikannya bermakna tetapi separa. Bagi kebanyakan tapak peribadi, kos operasi menjalankan DNSSEC melebihi manfaatnya. Untuk tapak yang mengendalikan transaksi kewangan, perkhidmatan kerajaan atau sasaran bernilai tinggi, DNSSEC plus DANE menambah lapisan pertahanan yang berbaloi.
Adakah DNSSEC akan menghalang semua serangan DNS?: Tidak. DNSSEC menghalang tindak balas DNS mengganggu wayar, tetapi ia tidak menghalang: pelayan berwibawa yang berniat jahat berbohong dengan tandatangan yang sah, pengambilalihan akaun pendaftar (penyerang menerbitkan kunci baharu) atau serangan terhadap IP destinasi selepas resolusi DNS yang sah. Ia adalah satu lapisan, bukan penyelesaian yang lengkap.
Mengapa penyemak imbas saya tidak menyemak DNSSEC?: Penyemak imbas mewakilkan pengesahan DNSSEC kepada penyelesai yang dikonfigurasikan. Jika penyelesai mengesahkan dan menolak jawapan yang tidak baik, penyemak imbas tidak pernah melihatnya. Terdapat cadangan untuk pengesahan sisi penyemak imbas tetapi ia tidak diterima pakai. Gunakan penyelesai yang mengesahkan (1.1.1.1, 9.9.9.9) dan anda mendapat faedah DNSSEC.
Apakah yang berlaku jika domain yang ditandatangani DNSSEC mempunyai masalah?: Pengesahan gagal dan kebanyakan penyelesai mengembalikan SERVFAIL. Domain kelihatan tidak dapat dicapai. Ini telah berlaku dalam pengeluaran (HBO Max terputus 2021 adalah salah konfigurasi DNSSEC). Tukar ganti: apabila DNSSEC berfungsi ia selamat; apabila ia pecah ia pecah dengan kuat.
Adakah DNSSEC sama dengan DNS melalui HTTPS?: Tidak. DNSSEC menambah tandatangan pada respons DNS untuk mengesahkan ketulenan. DNS melalui HTTPS (DoH) menyulitkan pertanyaan DNS dalam transit. Mereka saling melengkapi dan paling baik digunakan bersama.