В сегодняшней публикации рассмотрим технологию шифрования DNSSEC — что это такое, какие преимущества и недостатки имеет, как ее использовать и нужно ли.
Что такое DNSSEC?
Это криптографическое расширение безопасности для протокола DNS, защищающее передачу DNS-информации. Система DNS преобразует доменные имена в IP-адреса (и наоборот). В DNSSEC к информации (записям) DNS к ответу добавляют цифровую подпись, чтобы клиент мог проверить их достоверность. Практически применение протокола DNSSEC позволяет подписывать адресную информацию цифровой подписью. Использование DNSSEC позволяет избежать ключевых уязвимостей в системе DNS и снизить риск так называемой подмены адреса.
Арендовать виртуальный сервер с поддержкой DNSSEC вы можете по ссылке https://hostzealot.ru/vps.
Какие преимущества есть у DNSSEC
DNSSEC – это эффективный метод повышения безопасности при использовании DNS. С помощью DNSSEC пользователи интернета имеют возможность проверить, является ли информация, полученная через DNS, правдивой или поддельной, и таким образом убедиться, что веб-сайт действительно принадлежит банку, офису, электронному реестру, государственному органу и т.д.
Как использовать DNSSEC
Регистрант может защитить услуги, связанные с доменным именем. Для этого нужно подписать свой домен по технологии DNSSEC на серверах DNS и разместить в домене высшего уровня криптографическую аббревиатуру (в виде записи DS) с открытой части ключа. Пока такая возможность существует во многих мировых доменах.
Регистрант может подписать свой домен самостоятельно или обратиться к регистратору, если его регистратор предоставляет такую возможность. Затем регистратор передает в реестр соответствующего публичного домена записи DS для вашего домена. После успешного выполнения операции для вашего домена будет установлена »цепочка доверия» и в данных Whois для такого домена будет указано:
ds-rdata: …
Для удаления или изменения записи DS также следует обратиться к своему регистратору.
Особенности переноса домена от одного регистратора к другому
Если вы хотите перенести подписанный домен, сначала убедитесь, что регистратор, к которому вы хотите перевести домен, поддерживает DNSSEC . Далее договоритесь с обоими регистраторами и следуйте такой последовательности шагов:
- Старый регистратор временно удаляет запись DS в домене;
- По запросу нового регистратора выполняется процедура переноса домена;
- После завершения трансфера новый регистратор отправляет команду добавления записи DS для домена.
Как убедиться, что DNSSEC работает для вашего домена
Проверить правильность работы DNSSEC можно с помощью команды:
dig название-домена +dnssec
Как работает «Цепочка доверия»
Так называют последовательность ссылок безопасности, установленных с помощью DNSSEC между разными уровнями иерархии DNS. Когда DNS сервер отправляет адресную информацию клиенту, он прикрепляет цифровую подпись (в записи RRSIG). Достоверность записи может быть проверена с использованием открытого ключа соответствующего домена, содержащегося в записи DNSKEY. Это делается путем обращения к следующему (высшему) уровню в иерархии DNS, где регистрант домена сохраняет открытый ключ, создавая тем самым связь доверия между двумя уровнями.
Детальнее об особенностях технологии вы можете узнать в блоге хостинг-провайдера по адресу https://hostzealot.ru/blog/about-web-hosting/cto-takoe-dnssec-i-cem-vazna-eta-texnologiya.
Недостатки DNSSEC
Подпись и проверка достоверности данных DNS ведут к дополнительным накладным расходам, что не лучшим образом влияет на производительности серверов и сети в целом. Цифровым подписям требуется много места — вплоть до того, что их объем превышает данные, для которых они установлены. Это увеличивает нагрузку на магистральные линии интернета и часто на немагистральные каналы. создание и проверка подписей отнимает часть вычислительной мощности ЦПУ. В ряде случаев однопроцессорное сервера DNS придется заменять многопроцессорными. Подписи и ключи могут занимать существенно больше места на локальном диске и в ОЗУ, чем фактически сами данные.
