Protokół DNS a nazwa domeny
Sam protokół DNS, z którego korzystamy przy każdym wyszukiwaniu nazwy domeny, nie zawiera technicznych mechanizmów weryfikujących autentyczność dostarczanych nam informacji. Dopiero odpowiednio wdrożone uwierzytelnianie odpowiedzi w każdej strefie hierarchii DNS jest w stanie uchronić użytkownika Sieci przed niechcianym przekierowaniem.
Poprawnie wdrożony DNSSEC na domenie automatycznie sprawdzi, czy łączymy się z właściwym adresem docelowym, a nie fałszywym (tj. zmodyfikowanym przez osobę trzecią w pamięci cache serwera DNS). Jeśli serwer nazw ustali, iż rekord adresu danej domeny został zmodyfikowany, dostęp do fałszywego adresu zostanie zablokowany. Nikogo nie trzeba przekonywać, iż konsekwencje złośliwego przekierowania w przypadku przechwycenia naszych danych logowania do strony internetowej banku czy serwisów przechowujących dane kart płatniczych mogą być ogromne – zauważa Anna Szulkowska z HRD.pl.
Instalacja DNSSEC
Poprawna instalacja DNSSEC wymaga posiadania nieco technicznej wiedzy na temat właściwości nazwy domeny.
W strefie zabezpieczonej DNSSEC każda autorytatywna informacja posiada podpis cyfrowy, a do jego weryfikacji udostępniany jest zestaw kluczy publicznych. Aby było możliwe weryfikowanie odpowiedzi, musi istnieć tzw. łańcuch zaufania, który rozpoczyna się od punktu zaufania, czyli klucza, któremu ufamy. Za sprawdzenie łańcucha zaufania oraz poprawności podpisów odpowiada resolver rekursywny. Tak więc od strony technicznej, aby założyć DNSSEC na domenie należy wygenerować klucze, podpisać plik strefy, a następnie trzeba umieścić rekord DS w strefie nadrzędnej – wyjaśnia Krzysztof Orfinger, ekspert ds. DNSSEC z Działu Domen NASK.
Promocja DNSSEC
Rejestry domen coraz aktywniej włączają się w promocję zabezpieczenia domen protokołem DNSSEC. Doskonałym przykładem może być tutaj rejestr domen europejskich.
Wydaje się, że rok 2019 będzie dobrym rokiem dla naszych domen. Widzimy, że wielu ważnych i dużych rejestratorów przygotowuje się do wprowadzenia protokołu DNSSEC. Staramy się ich wspierać i oferujemy zniżki na rejestracje domen z DNSSEC, organizujemy webinary dla naszych rejestratorów, które objaśniają mechanizmy i procedury techniczne związane z udostępnianiem usługi, prowadzimy także akcje propagujące zasady cyber bezpieczeństwa w formie szkoleń i workshopów dla szerokiej publiczności i planujemy wprowadzenie prelekcji dla uczniów szkół średnich o profilu informatycznym na temat zabezpieczeń technicznych, w tym DNSSEC – wyjaśnia Aneta Szczepankiewicz, Liason Manager z EURid.
HRD.pl – bezpłatne zarządzanie protokołem DS
HRD.pl – reseller domen zrzeszający ponad 4000 usługodawców hostingowych w Polsce włącza się w nurt promocji DNSSEC oferując bezpłatną możliwość zarządzania protokołem DS w pełnym zakresie usług, jakie powinien zapewnić rejestrator domen.
Spółka zachęca również wszystkich swoich partnerów świadczących usługi hostingowe do wdrażania rekordów DS dla domen rejestrowanych w hurtowni HRD.pl.
Na koniec kilka istotnych kwestii technicznych związanych z zarządzaniem domeną objętą protokołem DNSSEC.
DNSSEC - zmiana delegacji domeny
DNSSEC wymaga m. in zgłoszenia do strefy nadrzędnej rekordu DS (skrót rekordu KSK), nie jest on modyfikowany lub usuwany w przypadku zmiany delegacji domeny. W związku z tym zmiana delegacji domeny zabezpieczonej DNSSEC musi uwzględniać czy serwer docelowy DNS obsługuje wspomniany protokół.
W sytuacji, gdy serwer nie obsługuje DNSSEC, konieczne jest usunięcie klucza DS za pośrednictwem rejestratora domeny, gdy zaś serwer obsługuje DNSSEC - zalecane jest wygenerowanie nowych kluczy i podmiana rekordu DS na aktualny w strefie nadrzędnej, za pośrednictwem rejestratora.
DNSSEC - transfer domeny
Zmiana rejestratora nazwy domeny jest realizowana bez zmiany jej konfiguracji i nie wymaga modyfikacji w zakresie DNSSEC, jedynie wydelegowanie domeny na inny serwer powoduje konieczność weryfikacji ustawień DNSSEC. Sam proces transferu nie powinien więc wpływać w żaden sposób na funkcjonowanie domeny z DNSSEC.