Od pewnego czasu coraz częściej, również w polskim internecie, można spotkać się z pojęciem DNSSEC. To jeden z mechanizmów, które wpływają na bezpieczeństwo usług w Internecie. Jakkolwiek korzystanie z DNSSEC nie jest niezbędne, warto jednak wiedzieć, jakie korzyści są z tym związane i jak to wdrożyć na swojej domenie.
Po co komu DNSSEC?
DNS w dużym uproszczeniu odpowiada za „tłumaczenie” nazwy domenowej na odpowiadający jej adres IP dla danej usługi. Protokół DNS został zaprojektowany w 1983 roku, a stał się oficjalnym standardem w 1986 roku. Wcześniej w sieciach komputerowych każde urządzenie musiało znać adres IP na podstawie nazwy innego urządzenia. Serwer nazw DNS pozwolił na rozproszone przechowywanie tych informacji i ich synchronizację.
Twórcy protokołu DNS nie przewidywali, jak bardzo sieć się rozwinie. W 2021 roku według badaczy Cisco, do Internetu będzie podłączonych ponad 27 miliardów urządzeń. Oczywiście nie każde z nich musi być znalezione po przyjaznej nazwie. Wyobraź sobie, o ile trudniej byłoby korzystać z Internetu, jeśli zamiast facebook.com musiałbyś wpisywać cztery ciągi cyfr oddzielonych kropką dla zwykłego adresu IP? DNS to więc odpowiednik książki adresowej w Twoim telefonie, tyle że zarządzanej globalnie.
Z uwagi na to, że system DNS jest rozproszony, pojawia się możliwość ataków na ten protokół i „zatrucie” go fałszywymi wpisami. Przykładowo, przeglądarka zamiast na stronę www banku skierowałaby Cię na fałszywą stronę, spreparowaną przez cyberprzestępcę. Odpowiedź DNS na Twoje zapytanie byłaby fałszywa. Co prawda sygnałem ostrzegawczym byłby zapewne nieprawidłowy certyfikat SSL, ale nie w każdym przypadku ataku ma to znaczenie.
Czym jest DNS w bezpiecznej wersji? DNSSEC jest to rozszerzenie protokołu DNS o klucze kryptograficzne, które mają zapewnić integralność i autentyczność danych, które krążą w systemie DNS. Dzięki DNSSEC możemy zweryfikować, czy odpowiedź serwera DNS jest godna zaufania.
Jak uruchomić DNSSEC dla domeny na hostingu MSERWIS?
Proces uruchomienia DNSSEC (Domain Name System Security Extensions) składa się z dwóch etapów. Pierwszy to wygenerowanie kluczy kryptograficznych na serwerze, gdzie znajduje się Twoje konto hostingowe. Drugi krok to wprowadzenie klucza do konfiguracji Twojej domeny.
Zakładamy, że utrzymujesz swoje domeny w Domeny.tv, a hosting posiadasz w MSERWIS.pl. W odróżnieniu od wielu rejestratorów nie wymuszamy transferu domen, które chcesz dodać do naszego hostingu. Jednak takie połączenie gwarantuje Ci największe bezpieczeństwo usług, najprostsze możliwości zarządzania nimi oraz jeden punkt kontaktu w razie pytań, czy problemów.
Jeśli chcesz samodzielnie uruchomić DNSSEC dla swoich domen, wykonaj następujące kroki.
Zaloguj się do panelu cPanel swojego serwera pod adresem: https://www.mserwis.pl/panel
Po pomyślnym zalogowaniu wpisz w pasek wyszukiwania funkcji „Zone Editor” lub po prostu znajdź ikonkę „Zone Editor” w sekcji „Domeny”.
Z listy dostępnych domen znajdź tą, dla której chcesz uruchomić DNSSEC. W naszym przypadku chcemy to wykonać dla domeny domenownik.pl:
Naciśnij ikonkę „DNSSEC”, a następnie ikonkę „Create Key”. Otworzy się okno pop-up z opcjami. Po kliknięciu przycisku „Dostosuj”, przejdziesz do opcji wyboru typu kluczy DNSSEC.
Dla domen .pl zalecamy wybór następujących opcji:
Key Setup – Classic
Algorithm – EDCSA Curve P-256 with SHA-256 (Algorithm 13)
Stan – Active
Po kliknięciu „Utwórz” zostaną wygenerowane klucze DNSSEC (klucz publiczny i klucz prywatny):
W uproszeniu możemy powiedzieć, że klucz to pewnego rodzaju podpis.
Samo wygenerowanie kluczy jednak nic nie zmienia. Wszystkie usługi związane z domeną będą działać tak jak dotychczas, ale DNSSEC nie będzie po prostu aktywny.
Zostaw tę stronę otwartą, a w innym oknie zaloguj się do panelu administracyjnego Twojej domeny: https://www.domeny.tv/admin/
Na liście domen .pl znajdź domenę i kliknij na “Konfiguracja DNSSEC”:
Kliknij „Dodaj rekord” i wprowadź następujące wartości:
- keyTag – wartość numeryczna wygenerowana przez cPanel
- Typ algorytmu klucza – wybierz „ECDSA Curve P-256 with SHA-256”, czyli tak zwany Algorytm 13
- Typ funkcji skrótu — wybierz SHA-256, czyli Algorytm 2
- Digest — wprowadź wartość wygenerowaną przez cPanel przy tym algorytmie.
Kliknij na ikonkę „Zapisz”. Jeśli wartości są poprawne, zobaczysz komunikat „Zmiany prawidłowo zapisane”.
W bazie WHOIS pojawi się po chwili wpis o DNSSEC:
Zwróć uwagę, że wpis DNSSEC na głównym serwerze DNS rejestru domeny .pl pojawi się faktycznie jednak dopiero po pewnym czasie — od kilku minut do godziny.
Następnie warto zweryfikować zewnętrznym narzędziem, czy konfiguracja DNSSEC jest poprawna. Polecamy narzędzie https://dnssec-analyzer.verisignlabs.com/, gdzie wystarczy wprowadzić nazwę domeny.
Oto wynik działania narzędzia dla domeny domenownik.pl:
Jak widzisz, wyniki wszystkich testów są na zielono. To bardzo dobrze! Oznacza to, że właściwe klucze DNSSEC znajdują się zarówno w konfiguracji domeny .pl, jak i hostingu, a także że są zgodne.
Ważna uwaga na przyszłość. Jeśli zdecydujesz się wygenerować nowy zestaw kluczy i unieważnić poprzedni, musisz wprowadzić zmiany w konfiguracji domeny. W przeciwnym wypadku Twoja domena przestanie działać, z uwagi na to, że klucze DNSSEC nie będą zgodne.
System DNS w wersji szyfrowanej DNSSEC a inna domena niż .pl
Na naszym hostingu możesz uruchomić usługę DNSSEC dla dowolnej podpiętej domeny, w dowolnym rozszerzeniu. Pamiętaj jednak, że nie każdy rejestr domen wspiera DNSSEC.
Dla innych domen niż .pl sposób generowania i wprowadzania kluczy może być inny. Różnice najczęściej będą się pojawiać w typie obsługiwanych algorytmów — nie każdy rejestr będzie wspierał wszystkie.
Z kolei w przypadku domen .eu w konfiguracji domeny nie wprowadzamy ciągu “digest”, tylko klucz publiczny KSK, który również bez problemu znajdziemy w cPanelu dla danej domeny:
Czy protokół DNSSEC ma jakieś wady?
Niestety, ale DNSSEC (Domain Name System Security Extensions) ma wady, jak każdy mechanizm. Możemy wymienić dwie główne:
- Pierwsza to pewna trudność zrozumienia, jak działa i jakie korzyści przynosi.
- Druga, bardziej wymierna, to zwiększenie objętości danych, które są przesyłane w DNS. Zwiększa to nieznacznie ruch sieciowy.
Podsumowanie
DNSSEC stanowi skuteczną ochronę przed atakami na DNS. Jego celem jest obrona przed technikami wykorzystywanymi przez cyberprzestępców, które polegają na kierowaniu ruchu na nieuczciwe witryny i serwery. DNSSEC uwierzytelnia, że rekordy DNS pochodzą od autoryzowanego nadawcy (serwera DNS) przy użyciu kryptografii.
Zrozumienie zasady działania DNSSEC nie należy do najprostszych, ale za to jego wdrożenie wpłynie na wiarygodność wyświetlanej strony internetowej.
Niestety, ale ze względu na swój zaawansowany charakter, usługa DNSSEC nie jest domyślnie dostępna u wielu dostawców hostingu. Jeżeli zależy Ci na stworzeniu maksymalnie bezpiecznego systemu nazw domen, powinieneś wybrać firmę, która świadczy to rozwiązanie w swojej ofercie. W MSERWIS.pl zapewniamy usługę DNSSEC dla większości kont hostingowych. Przetestuj nasz dowolny serwer i usługę DNSSEC przez 14 dni za darmo lub zleć nam bezpłatną migrację danych Twojego obecnego hostingu.
Jako CEO MSERWIS posiadam ponad 20-letnie doświadczenie z zakresu tworzenia oprogramowania, funkcjonowania domen oraz serwerów wirtualnych. Odpowiadam za nadzór nad wszystkimi aspektami działalności, w tym sprzedażą, marketingiem, finansami i opracowywaniem strategii biznesowych. Pomagam przedsiębiorcom tworzyć sklepy e-commerce i konfiguratory 3D, które zapewniają więcej klientów dla ich biznesów.
Polub nas na Facebooku
Komentarze
4 odpowiedzi na “DNSSEC – co to jest, jak działa i czy warto go używać?”