Какво е DNSSEC?

DNSSEC (Domain Name System Security Extensions) е набор от разширения към DNS системата, чрез които се добавя начин за верифициране на автентичността на публикуваната DNS информация за даден домейн.

Когато отваряме даден уеб сайт в браузъра, преди да се зареди съдържанието му, DNS резолверът извършва проверка в DNS указателя, при която се открива кой е IP адресът на домейна. По пътя на DNS проверката е възможно да се намеси трето лице, което да подведе DNS резолвера и да му подаде грешна DNS информация, например друг IP адрес за домейна. Най-често това се прави с цел крайният потребител да зареди злонамерен сайт, имитиращ оригиналния, в който данните му да бъдат прихванати. С DNSSEC обаче, DNS резолверът може да провери дали получената DNS информация (IP адрес на домейна) наистина отговаря на тази, публикувана в DNS зоната на домейна.

Подмяната на DNS информация засяга не само уеб сайтовете, но и всички други услуги в интернет, които ползват домейни. Например имейл услугата най-често се намира на поддомейн mail.mysupersite.com, който е насочен към IP адреса на мейл сървъра. Отклоняване и прихващане на мейл кореспонденцията може да се случи чрез подвеждане на мейл клиента да се свърже с IP адрес, който реално не отговаря на истинския мейл сървър.

Чрез DNSSEC се удостоверява истинността на DNS информацията за даден домейн, но по-важното е, че индиректно се защитава самоличността зад домейна и потребителите на предоставяната от него услуга.

Какво е нужно за прилагането на DNSSEC за даден домейн?

За прилагането на DNSSEC защитата за даден домейн, са нужни действия от две страни – управляващият DNS зоната за конкретния домейн (mysupersite.com) и регистрарът, управляващ зоната на горното ниво домейн (.com):

  • 1. Конкретното ниво – активиране на DNSSEC за DNS зоната на домейна (mysupersite.com) и
  • 2. Горното ниво – добавяне на DNSSEC запис за mysupersite.com в DNS зоната на горното ниво домейн (.com).

Ако искаме да активираме DNSSEC за домейна mysupersite.com например, то управляващият mysupersite.com ще трябва да добави DNSSEC за зоната на домейна mysupersite.com, а регистрарът, управляващ горната зона (на .com домейна), ще трябва да постави в нея един специален DNSSEC (DS) запис. Този специален запис ще съдържа хеширан ключ от приложената DNSSEC защита на mysupersite.com. Благодарение на този запис в зоната на .com домейна, DNS резолверът може да разбере, че зоната на следващото ниво (mysupersite.com) има DNSSEC защита, и ще може да я верифицира.

На първо място е необходимо на DNS сървъра, където се намира зоната на домейна (mysupersite.com) да се поддържа и активира DNSSEC. DNS зоната на домейна се намира на DNS сървърите, които са зададени за домейна (ns1.nameserver.com, ns2.nameserver.com).

При активирането на DNSSEC за дадена DNS зона, чрез криптографски алгоритми ще се генерират няколко ключа (ZSK и KSK), които се използват за подписване на DNS записите и за удостоверяването им след това. От всичките ключове ще ви трябва само KSK публичния ключ. Негова хеширана версия се поставя в горната зона от домейна, в DS запис (Delegation Signer).

DNS записите не се променят или криптират по никакъв начин от DNSSEC. DNS записите са си същите, само са подписани с цифров подпис, който също се намира в зоната, в специален RRSIG запис.

Към оператора на горната DNS зона може да се подаде или KSK публичния ключ или DS записа, в зависимост от изискванията на дадения оператор.

Хеш кода на KSK ключа се поставя в DS запис, който след това се добавя от регистрара в зоната на дадения топ домейн (.com).

DNSSEC се поддържа и може да се използва за домейни, регистрирани при СуперХостинг.БГ, които ползват нейм сървъри с DNSSEC поддръжка. Вижте как да активирате DNSSEC през клиентския ви профил.
Обновена: 12.10.2022

Беше ли Ви полезна тази статия?

Вижте още