Что такое DNSSEC

Что такое DNSSEC: особенности, преимущества, недостатки

В сегодняшней публикации рассмотрим технологию шифрования DNSSEC — что это такое, какие преимущества и недостатки имеет, как ее использовать и нужно ли.

Что такое DNSSEC?

Это криптографическое расширение безопасности для протокола DNS, защищающее передачу DNS-информации. Система DNS преобразует доменные имена в IP-адреса (и наоборот). В DNSSEC к информации (записям) DNS к ответу добавляют цифровую подпись, чтобы клиент мог проверить их достоверность. Практически применение протокола DNSSEC позволяет подписывать адресную информацию цифровой подписью. Использование DNSSEC позволяет избежать ключевых уязвимостей в системе DNS и снизить риск так называемой подмены адреса.

Арендовать виртуальный сервер с поддержкой DNSSEC вы можете по ссылке https://hostzealot.ru/vps.

Какие преимущества есть у DNSSEC

DNSSEC – это эффективный метод повышения безопасности при использовании DNS. С помощью DNSSEC пользователи интернета имеют возможность проверить, является ли информация, полученная через DNS, правдивой или поддельной, и таким образом убедиться, что веб-сайт действительно принадлежит банку, офису, электронному реестру, государственному органу и т.д.

Как использовать DNSSEC

Регистрант может защитить услуги, связанные с доменным именем. Для этого нужно подписать свой домен по технологии DNSSEC на серверах DNS и разместить в домене высшего уровня криптографическую аббревиатуру (в виде записи DS) с открытой части ключа. Пока такая возможность существует во многих мировых доменах.

Регистрант может подписать свой домен самостоятельно или обратиться к регистратору, если его регистратор предоставляет такую ​​возможность. Затем регистратор передает в реестр соответствующего публичного домена записи DS для вашего домена. После успешного выполнения операции для вашего домена будет установлена ​​»цепочка доверия» и в данных Whois для такого домена будет указано:

ds-rdata: …

Для удаления или изменения записи DS также следует обратиться к своему регистратору.

Аренда DNSSEC сервера

Особенности переноса домена от одного регистратора к другому

Если вы хотите перенести подписанный домен, сначала убедитесь, что регистратор, к которому вы хотите перевести домен, поддерживает DNSSEC . Далее договоритесь с обоими регистраторами и следуйте такой последовательности шагов:

  • Старый регистратор временно удаляет запись DS в домене;
  • По запросу нового регистратора выполняется процедура переноса домена;
  • После завершения трансфера новый регистратор отправляет команду добавления записи DS для домена.

Как убедиться, что DNSSEC работает для вашего домена

Проверить правильность работы DNSSEC можно с помощью команды:

dig название-домена +dnssec

Как работает «Цепочка доверия»

Так называют последовательность ссылок безопасности, установленных с помощью DNSSEC между разными уровнями иерархии DNS. Когда DNS сервер отправляет адресную информацию клиенту, он прикрепляет цифровую подпись (в записи RRSIG). Достоверность записи может быть проверена с использованием открытого ключа соответствующего домена, содержащегося в записи DNSKEY. Это делается путем обращения к следующему (высшему) уровню в иерархии DNS, где регистрант домена сохраняет открытый ключ, создавая тем самым связь доверия между двумя уровнями.

Детальнее об особенностях технологии вы можете узнать в блоге хостинг-провайдера по адресу https://hostzealot.ru/blog/about-web-hosting/cto-takoe-dnssec-i-cem-vazna-eta-texnologiya.

Недостатки DNSSEC

Подпись и проверка достоверности данных DNS ведут к дополнительным накладным расходам, что не лучшим образом влияет на производительности серверов и сети в целом. Цифровым подписям требуется много места — вплоть до того, что их объем превышает данные, для которых они установлены. Это увеличивает нагрузку на магистральные линии интернета и часто на немагистральные каналы. создание и проверка подписей отнимает часть вычислительной мощности ЦПУ. В ряде случаев однопроцессорное сервера DNS придется заменять многопроцессорными. Подписи и ключи могут занимать существенно  больше места на локальном диске и в ОЗУ, чем фактически сами данные.

Оставьте ответ

Ваш адрес email не будет опубликован.