🍪 Można ciasteczko?

Ta strona chce wykorzystywać pliki cookie do analizowania ruchu oraz mierzenia skuteczności i personalizacji reklam zgodnie z polityką prywatności. Zgadzasz się?

PORADNIKI

4 min. czytania

DNSSEC

DNSSEC: Co to jest? Jak działa? Jak zabezpieczyć domenę i stronę WWW przed phishingiem i podszyciem się pod nią?

Spis treści
Serwer

Jeśli korzystasz z domen i hostingów, to na pewno zetknąłeś się ze skrótem DNS, który pochodzi od Domain Name System, czyli systemu nazw domen. Pojęciem związanym z nim jest DNSSEC (Domain Name System Security Extensions). Jak działa i co Ci daje DNSSEC?

DNSSEC – co to jest?

DNSSEC to rozwiązanie, które jest rozszerzeniem protokołu DNS. Może jednak zacznę od tego, czym jest DNS. Otóż to dzięki temu systemowi, zamiast wpisywać w przeglądarce numer IP, trafiasz na daną stronę internetową, korzystając z łatwego do zapamiętania adresu.

DNS
DNS

Najczęściej po rozpoczęciu współpracy z firmą hostingową otrzymasz od niej e-maila, a w nim jedną z pozycji będą nazwy serwerów DNS. Żeby po skorzystaniu z danego adresu, internauta trafił na Twoją stronę, musisz powiązać domenę z hostingiem. Aby to uzyskać, wprowadź odpowiednie nazwy serwerów DNS w ustawieniach domeny. Nie jest to trudne zadanie. Jeśli jednak będziesz mieć wątpliwości, to informację, jak to zrobić, znajdziesz w FAQ. Możesz też poprosić o pomoc support. 

Zadaniem DNSSEC jest zwiększenie bezpieczeństwa serwerów DNS za pomocą kryptografii oraz podpisów cyfrowych. Wnioskodawca może sprawdzić, czy wybrany rekord jest autentyczny. Odpowiedzi są wiarygodne i integralne, dzięki czemu masz pewność, że nie zostały one zmodyfikowane i pochodzą z wiarygodnego źródła. Obok DNS Anycast ma to spore znaczenie dla bezpieczeństwa hostingu i uruchomionych na nim stron WWW.

Jest to cenne rozwiązanie, które zabezpiecza m.in. przed phishingiem, uniemożliwia tzw. zatrucie pamięci podręcznej i ogranicza ryzyko podszywania się pod dany serwer DNS. Protokół DNSSEC wprowadza do systemu DNS takie rekordy jak:

  • NSEC – następny bezpieczny rekord. Są one używane do weryfikacji nieistnienia nazwy i typu rekordu.
  • RRSIG – podpis rekordu zasobu. Podpis cyfrowy, który ma każda autorytatywna informacja w strefie zabezpieczonej DNSSEC. 
  • DS – z angielskiego delegation signer. Zawierają one kryptograficzne skróty klucza KSK delegowanych stref. 

System DNS stanowi jedną z podstaw internetu, z którego obecnie korzystamy, ale nie jest pozbawiony wad. Wprawdzie umożliwia szybkie połączenie się z danym zasobem, ale jednak korzystanie z niego wiąże się z pewnymi ograniczeniami. Mowa o:

  • fałszowaniu adresu IP,
  • przechwytywaniu danych,
  • podszywaniu się pod dany serwer DNS,
  • uszkodzeniu lub modyfikacji pamięci podręcznej,
  • atakach DDoS

Skoro to rozwiązanie jest tak cenne, to czy cieszy się w Polsce dużym zainteresowaniem? Tego możesz się dowiedzieć z raportów kwartalnych przygotowywanych przez NASK. W II kwartale 2020 roku liczba domen zabezpieczonych DNSSEC wynosiła 433 tys. przy 2,45 mln aktywnych nazwach z rozszerzeniem .pl ogółem. W stosunku do poprzedniego kwartału liczba domen korzystających z tego zabezpieczenia zmniejszyła się o 28 tys. Rekordowy wynik osiągnięto w IV kwartale 2019 roku, kiedy to liczba domen używających tego zabezpieczenia przekraczała 520 tys. Zatem w stosunkowo krótkim czasie mamy do czynienia z dosyć dużym spadkiem. Może to wynikać z wielu powodów. Po pierwsze, tylko niektóre firmy hostingowe oferują to zabezpieczenie za darmo. Po drugie, nie wszyscy abonenci hostingów są świadomi istnienia i przydatności takiego rozwiązania. Dlatego, na razie, trudno oczekiwać, że jego popularność zacznie dynamicznie rosnąć. 

Raport użycia DNSSEC dla domen .pl
Raport użycia DNSSEC dla domen .pl – nask.pl

DNSSEC ma również wady. Konsekwencje wdrożenia tego rozwiązania to:

  • Większa ilość danych w systemie DNS.
  • Zwiększenie rozmiaru transmisji, co w skrajnych przypadkach może doprowadzić nawet do zakłócenia komunikacji. 

Najczęściej korzystanie z DNSSEC nie wymaga żadnego działania. Jeśli dana firma zapewnia taką ochronę, to wówczas obejmuje nią automatycznie wszystkie domeny. Może jednak być też tak, że będzie trzeba zalogować się do panelu administracyjnego usługi i włączyć ochronę dla konkretnej nazwy.

Jak sprawdzić, czy DNSSEC działa?

Aktywowałeś DNSSEC albo dostałeś informację, że ochrona jest włączona dla danej domeny? Aby zyskać pewność, że działa ona poprawnie, możesz posłużyć się np. z rozszerzeniem DNSSEC Validator, które dostępny jest na Chrome. Po jego dodaniu, jeśli domena korzysta z DNSSEC, pojawi się zielona ikona z kluczem na białym tle. 

Informację o tym, czy domena zabezpieczona jest przez DNSSEC, znajdziesz też w odpowiedzi do zapytania WHOIS dla domeny.

DNSSEC: Signed we WHOIS
DNSSEC: Signed we WHOIS