Od pewnego czasu coraz częściej, również w polskim internecie, można spotkać się z pojęciem DNSSEC. To jeden z mechanizmów, które wpływają na bezpieczeństwo usług w Internecie. Jakkolwiek korzystanie z DNSSEC nie jest niezbędne, warto jednak wiedzieć, jakie korzyści są z tym związane i jak to wdrożyć na swojej domenie.

Po co komu DNSSEC?

DNS w dużym uproszczeniu odpowiada za “tłumaczenie” nazwy domenowej na odpowiadający jej adres IP dla danej usługi. Protokół DNS został zaprojektowany w 1983 roku, a stał się oficjalnym standardem w 1986 roku. Wcześniej w sieciach komputerowych każde urządzenie musiało znać adres IP na podstawie nazwy innego urządzenia. DNS pozwolił na rozproszone przechowywanie tych informacji i ich synchronizację.

Twórcy protokołu DNS nie przewidywali, jak bardzo sieć się rozwinie. W 2021 roku według badaczy Cisco, do Internetu będzie podłączonych ponad 27 miliardów urządzeń. Oczywiście nie każde z nich musi być znalezione po przyjaznej nazwie. Ale wyobraź sobie, o ile trudniej byłoby korzystać z Internetu, jeśli zamiast facebook.com musiałbyś wpisywać cztery ciągi cyfr oddzielonych kropką dla zwykłego adresu IP? DNS to więc odpowiednik książki adresowej w Twoim telefonie, tyle że zarządzanej globalnie.

Z uwagi na to, że system DNS jest rozproszony, pojawia się możliwość ataków na ten protokół i “zatrucie” go fałszywymi wpisami. Przykładowo, zamiast na stronę banku mógłbyś zostać skierowany na fałszywą stronę, spreparowaną przez cyberprzestępcę. Co prawda sygnałem ostrzegawczym byłby zapewne nieprawidłowy certyfikat SSL, ale nie w każdym przypadku ataku ma to znaczenie.

DNSSEC to więc rozszerzenie protokołu DNS o klucze kryptograficzne, które mają zapewnić integralność i autentyczność danych, które krążą w systemie DNS. Dzięki DNSSEC możemy zweryfikować, czy odpowiedź serwera DNS jest godna zaufania.

Jak uruchomić DNSSEC dla domeny na hostingu MSERWIS?


Proces uruchomienia DNSSEC składa się z dwóch etapów. Pierwszy to wygenerowanie kluczy kryptograficznych na serwerze, gdzie znajduje się Twoje konto hostingowe. Drugi krok to wprowadzenie klucza do konfiguracji Twojej domeny.

Zakładamy, że utrzymujesz swoje domeny w Domeny.tv, a hosting posiadasz w MSERWIS.pl. W odróżnieniu od wielu rejestratorów nie wymuszamy transferu domen, które chcesz dodać do naszego hostingu. Jednak takie połączenie gwarantuje Ci największe bezpieczeństwo usług, najprostsze możliwości zarządzania nimi oraz jeden punkt kontaktu w razie pytań czy problemów.

Jeśli chcesz samodzielnie uruchomić DNSSEC dla swoich domen, wykonaj następujące kroki.

Zaloguj się do panelu cPanel swojego serwera pod adresem: https://www.mserwis.pl/panel

Po pomyślnym zalogowaniu, wpisz w pasek wyszukiwania funkcji “Zone Editor” lub po prostu znajdź ikonkę “Zone Editor” w sekcji “Domeny”.

Z listy dostępnych domen znajdź tą dla dla której chcesz uruchomić DNSSEC. W naszym przypadku chcemy to wykonać dla domeny domenownik.pl:

Naciśnij ikonkę “DNSSEC”, a następnie ikonkę “Create Key”. Otworzy się okno pop-up z opcjami. Po kliknięciu przycisku “Dostosuj”, przejdziesz do opcji wyboru typu kluczy DNSSEC.

Dla domen .pl zalecamy wybór następujących opcji:

Key Setup – Classic

Algorithm – EDCSA Curve P-256 with SHA-256 (Algorithm 13)

Stan – Active

Po kliknięciu “Utwórz” zostaną wygenerowane klucze DNSSEC:

Samo wygenerowanie kluczy jednak nic nie zmienia. Wszystkie usługi związane z domeną będą działać tak jak dotychczas, ale DNSSEC nie będzie po prostu aktywny.

Zostaw tę stronę otwartą, a w innym oknie zaloguj się do panelu administracyjnego Twojej domeny: https://www.domeny.tv/admin/

Na liście domen .pl znajdź domenę i kliknij na “Konfiguracja DNSSEC”:

Kliknij “Dodaj rekord” i wprowadź następujące wartości:

  • keyTag – wartość numeryczna wygenerowana przez cPanel
  • Typ algorytmu klucza – wybierz “ECDSA Curve P-256 with SHA-256”, czyli tak zwany Algorytm 13
  • Typ funkcji skrótu – wybierz SHA-256, czyli Algorytm 2
  • Digest – wprowadź wartość wygenerowaną przez cPanel przy tym algorytmie

Kliknij na ikonkę “Zapisz”. Jeśli wartości są poprawne zobaczysz komunikat “Zmiany prawidłowo zapisane”.

W bazie WHOIS pojawi się po chwili wpis o DNSSEC:

Zwróć uwagę, że wpis DNSSEC na głównym serwerze DNS rejestru domeny .pl pojawi się faktycznie jednak dopiero po pewnym czasie – od kilku minut do godziny.

Następnie warto zweryfikować zewnętrznym narzędziem, czy konfiguracja DNSSEC jest poprawna. Polecamy narzędzie https://dnssec-analyzer.verisignlabs.com/, gdzie wystarczy wprowadzić nazwę domeny.

Oto wynik działania narzędzia dla domeny domenownik.pl:

Jak widzisz, wyniki wszystkich testów są na zielono. To bardzo dobrze! Oznacza to, że właściwe klucze DNSSEC znajdują się zarówno w konfiguracji domeny .pl jak i hostingu, a także że są zgodne.

Ważna uwaga na przyszłość. Jeśli zdecydujesz się wygenerować nowy zestaw kluczy i unieważnić poprzedni, musisz wprowadzić zmiany w konfiguracji domeny. W przeciwnym wypadku Twoja domena przestanie działać, z uwagi na to, że klucze DNSSEC nie będą zgodne.

DNSSEC a inne domeny niż .pl

Na naszym hostingu możesz uruchomić usługę DNSSEC dla dowolnej podpiętej domeny, w dowolnym rozszerzeniu. Pamiętaj jednak, że nie każdy rejestr domen wspiera DNSSEC.

Dla innych domen niż .pl sposób generowania i wprowadzania kluczy może być inny. Różnice najczęściej będą się pojawiać w typie obsługiwanych algorytmów – nie każdy rejestr będzie wspierał wszystkie. 

Z kolei w przypadku domen .eu w konfiguracji domeny nie wprowadzamy ciągu “digest”, tylko klucz publiczny KSK, który również bez problemu znajdziemy w cPanelu dla danej domeny:

Czy DNSSEC ma jakieś wady?

Niestety, ale DNSSEC posiada wady, jak każdy mechanizm. Możemy wymienić dwie główne:

  • Pierwsza to pewna trudność zrozumienia, jak działa i jakie korzyści przynosi.
  • Druga, bardziej wymierna, to zwiększenie objętości danych, które są przesyłane w DNS. Zwiększa to nieznacznie ruch sieciowy.

Podsumowanie

DNSSEC stanowi skuteczną ochronę przed atakami na DNS. Jego celem jest obrona przed technikami wykorzystywanymi przez cyberprzestępców, które polegają na kierowaniu ruchu na nieuczciwe witryny i serwery.  DNSSEC uwierzytelnia, że ​​rekordy DNS pochodzą od autoryzowanego nadawcy (serwera DNS) przy użyciu kryptografii.

Zrozumienie zasady działania DNSSEC nie należy do najprostszych, ale za to jego wdrożenie wpłynie na wiarygodność wyświetlanej strony internetowej.

close

Zapisz się na powiadomienia o nowych artykułach i odbierz link do unikatowej oferty

Zostaw e-mail, a dostaniesz informację o nowych artykułach

* Wypełniając formularz wyrażam zgodę na przesłanie na mój adres e-mail powiadomień ze strony „Blog.mserwis.pl”. Szczegóły związane z przetwarzaniem Twoich danych osobowych znajdziesz w naszej polityce prywatności: https://www.domeny.tv/polityka-prywatnosci

Polub nas na facebooku

Facebook Pagelike Widget

Komentarze