root.comexample.comA recordchain of trust verified by signatures

DNSSEC

11 min citireCriptografie

DNS, sistemul care traduce nume precum example.com în adrese IP, a fost conceput în 1983 fără autentificare. Orice răspuns care pretindea a fi de la serverul autorizat al unui domeniu a fost acceptat. DNSSEC remediază acest lucru prin atașarea semnăturilor criptografice la fiecare înregistrare DNS, permițând clienților să verifice dacă răspunsul nu a fost modificat. Adopția a fost lentă, dar acolo unde este implementată, funcționează.

Întregul articol al articolului este oferit în limba engleză mai jos.

DNSSEC (Domain Name System Security Extensions) adaugă semnături criptografice înregistrărilor DNS, permițând clienților să verifice autenticitatea și integritatea răspunsurilor DNS. Fără DNSSEC, un atacator de rețea poate falsifica răspunsurile DNS și poate redirecționa traficul către servere controlate de atacator - fundamentul deturnării DNS. Cu DNSSEC, răspunsurile falsificate nu verifică semnătura și sunt respinse.

Ce adaugă DNSSEC

Patru noi tipuri de înregistrări:

  • RRSIG — o semnătură peste un set de înregistrări. Fiecare înregistrare semnată are un RRSIG.
  • DNSKEY corespondent — cheia publică utilizată pentru a verifica semnăturile RRSIG pentru o zonă.
  • DS (Semnat delegat) — se află în zona părinte, arătând către DNSKEY. Stabilește lanțul de încredere.
  • NSEC/NSEC3 — dovedește că un nume NU există în zonă. Necesar deoarece „acest nume nu există” este, de asemenea, un răspuns care trebuie autentificat.

Cum funcționează verificarea

TPentru a verifica IP-ul exemplului.com:

  1. Resolver interogările exemplu.com. Obține IP-ul plus o semnătură RRSIG.
  2. Resolver interogează example.com pentru DNSKEY-ul său (cheia de semnare a zonei, ZSK).
  3. Resolver verifică RRSIG utilizând ZSK.
  4. TPentru a verifica DNSKEY-ul propriu-zis, înregistrează interogările de zonă (resolver-ul).com. example.com.
  5. Înregistrarea DS conține un hash al DNSKEY de la example.com, semnat de cheile .com.
  6. Taceasta se repetă până la rădăcină, a cărei cheie publică este codificată hard în soluții. înregistrarea originală A. Este detectată orice manipulare la orice pas.

    Tipurile de chei și rotația

    DNSSEC utilizează două tipuri de chei per zonă:

    • Cheie de semnare a zonei (ZSK). Semnează înregistrările reale (A,.MX, etc.). Rotită frecvent (de la luni la un an) deoarece este folosită mult.
    • Cheie de semnare a tastei (KSK). Semnează ZSK. Rotită rar, deoarece este punctul de ancorare la care face referire zona părinte. Rotirea acestuia necesită coordonarea cu registratorul pentru a actualiza înregistrarea DS.

    Rădăcina KSK este rotită aproximativ o dată la cinci ani. Rotația din 2017 a fost primii și a necesitat ani de pregătire pentru a se asigura că rezoltorii din întreaga lume au noua cheie publică.

    Adoption

    DNSSEC Adoptarea este inegală:

    • TLD nivel: sunt cele mai importante semnate. .com, .org, .net, .gov, majoritatea codurilor de țară.
    • Nivel de domeniu: Aproximativ 5% dintre domeniile .com au DNSSEC activat începând cu 2026 — creștere lentă.
    • Resolver toate nivelurile majore publice:
    • (1.1.1.1, 8.8.8.8, 9.9.9.9) validează DNSSEC. Majoritatea soluțiilor ISP fac și ele. Cele care nu returnează pur și simplu orice primesc fără verificare.
    • Nivel client: Majoritatea sistemelor de operare au încredere în soluția lor configurată pentru validare; ei nu verifică singuri semnăturile. Câteva aplicații și implementări DNS-over-HTTPS validează pe partea clientului.

    De ce adoptarea este lentă

    Mai multe bariere:

    • Complexitate operațională.

    De ce este lentă adopția

    Mai multe bariere:

    • Complexitate operațională. Configurarea greșită rupe domeniul în întregime (fiecare rezolutor returnează SERVFAIL).
    • Răspunsuri DNS mai mari. Răspunsurile semnate sunt de câteva ori mai mari decât nesemnate. Vechea infrastructură DNS presupunea că răspunsurile s-ar potrivi în pachete UDP unice; răspunsurile semnate adesea nu, necesitând o rezervă TCP.
    • LBeneficiu limitat pentru utilizatorul final. DNSSEC protejează împotriva falsificării stratului DNS, dar nu împotriva IP-ului de destinație malițios. Majoritatea utilizatorilor nu observă când DNSSEC este sau nu există.
    • Alternative mai bune pentru unele cazuri de utilizare. DNS criptat (DoH, DoT, DNSCrypt) protejează interogările DNS de falsificarea pe cale, care abordează o mare parte din aceeași amenințare cu mai puține complexitate.

    DNSSEC vs DNS

    Cele două rezolvă probleme care se suprapun, dar distincte:

    • DNSSEC demonstrează că răspunsul este autentic și nemodificat. Interogarea în sine este încă vizibilă în rețea.
    • Encriptat DNS ascunde interogarea și răspunsul din rețea, dar nu dovedește că răspunsul este autentic – are doar încredere în resolverul configurat.

    Cea mai puternică configurație: un resolver criptat DNSEC pentru validarea DNSS. Ascundeți interogarea în tranzit, verificați răspunsul criptografic. Cloudflare 1.1.1.1 și Google 8.8.8.8 peste DoH oferă ambele astăzi.

    DANE: ceea ce permite DNSSEC

    O deblocare a tehnologiei în aval DNSSEC este DANE (autentificarea bazată pe DNS a entităților denumite). DANE publică amprentele certificatelor TLS în DNS, securizate de DNSSEC. Un browser poate verifica certificatul unui site web interogând DNS în loc să se bazeze numai pe autoritățile de certificare. Adopția este limitată (folosită în cea mai mare parte pentru SMTP, nu HTTPS, din cauza politicii de implementare a browserului).

    Cum se verifică dacă un domeniu este semnat DNSSEC

    Verificare în linia de comandă: dig +dnssec example.com — dacă răspunsurile includ semnături DNSSEC activate. Instrumente online precum DNSSEC-Analyzer (Verisign Labs) arată vizual întreg lanțul de încredere. Extensiile de browser pot semnala starea de validare DNSSEC pe pagină.

Întrebări frecvente

Domeniul meu are nevoie de DNSSEC?
Nu strict. Protecția pe care o oferă este semnificativă, dar parțială. Pentru majoritatea site-urilor personale, costul operațional al rulării DNSSEC depășește beneficiul. Pentru site-urile care gestionează tranzacții financiare, servicii guvernamentale sau ținte de mare valoare, DNSSEC plus DANE adaugă un strat defensiv util.
Va preveni DNSSEC toate atacurile DNS?
Nu. DNSSEC previne manipularea răspunsului DNS pe fir, dar nu împiedică: un server autoritar rău intenționat care stă cu semnături valide, preluarea contului de registrator (atacatorul publică chei noi) sau atacuri împotriva IP-ului de destinație după o rezoluție DNS legitimă. Este un strat, nu o soluție completă.
De ce browserul meu nu verifică DNSSEC?
Browserele deleg validarea DNSSEC solutorului configurat. Dacă rezolutorul validează și refuză răspunsurile proaste, browserul nu le vede niciodată. Au existat propuneri pentru validarea browser-ului, dar acestea nu au fost adoptate. Utilizați un solutor de validare (1.1.1.1, 9.9.9.9) și obțineți beneficiile DNSSEC.
Ce se întâmplă dacă un domeniu semnat de DNSSEC are o problemă?
Validarea eșuează și majoritatea soluțiilor returnează SERVFAIL. Domeniul pare inaccesibil. Acest lucru s-a întâmplat în producție (întreruperea HBO Max din 2021 a fost o configurare greșită a DNSSEC). Compensația: atunci când DNSSEC funcționează, este sigur; cand se rupe se rupe tare.
Este DNSSEC la fel cu DNS prin HTTPS?
Nu. DNSSEC adaugă semnături la răspunsurile DNS pentru a verifica autenticitatea. DNS prin HTTPS (DoH) criptează interogările DNS în tranzit. Sunt complementare și cel mai bine folosite împreună.
DNSSEC explicat: Adăugarea de semnături criptografice la căutările DNS