DNSSEC

1. Що таке DNSSEC та для чого він потрібен

DNSSEC – це протокол безпеки для системи DNS, котрий додає ще один захисний бар’єр до системи доменних імен (DNS).

Вищий рівень захисту при використанні DNSSEC досягається за рахунок використання цифрового підпису та спеціальних ключів, котрі шифрують записи у зоні Вашого домену. Ці ключі створюють ланцюжок сертифікатів у системі DNS, що гарантує те, що записи домену є дійсно оригінальним та не підробленими на кожному етапі перевірки.

Записи DNS із цифровим підписом допомагають запобігти DNS-спуфінгу, підробці доменних записів та більшості інших типів DNS-атак.

2. Як підключити підтримку DNSSEC для Вашого домену

А) Необхідні умови підключення DNSSEC:

• Доменна зона повинна бути українською та підтримувати DNSSEC.
• Наша компанія повинна бути поточним реєстратором для Вашого домену.

Б) На NS серверах, котрі обслуговують доменну зону, генеруються потрібні записи – DS запис та відкритий ключ.

DS запис повинен містити:

• тег ключа (keyTag),
• алгоритм шифрування (alg),
• тип дайджесту (digestType),
• дайджест (digest).

В) DS запис передається адміністратору доменної зони поточним реєстратором домену.

Г) Після успішної звірки переданого запису з тим, що знаходиться в зоні домену відповідного NS серверу, відбувається активація DNSSEC домену.

Підключення DNSSEC якщо домен обслуговується нашими NS серверами

В цьому випадку, Вам необхідно звернутись з цим запитом на електронну пошту Дата-Центру (dc@lanet.ua). Після отримання звернення, наші спеціалісти зв’яжуться з Вами для уточнення всіх необхідних деталей. Після уточнення необхідних деталей, ми згенеруємо відповідні ключі та передамо їх адміністратору доменної зони. Після чого для Вашого домену буде увімкнено функціонування DNSSEC.

Підключення DNSSEC якщо домен обслуговується сторонніми (ті, що належать іншим DNS провайдерам) NS серверами

В цьому випадку, Вам необхідно підписати доменну зону (згенерувати необхідні ключі) на NS серверах, котрими вона обслуговується. Ви можете зробити це, звернувшись в технічну підтримку організації, котрій належать ці NS сервери або зробити це власноруч, використовуючи панель керування цієї організації. Після цього надіслати нам звернення на електронну пошту Дата-Центру (dc@lanet.ua). У зверненні необхідно вказати отриманий DS запис у вигляді — keyTag | alg | digestType | digest та необхідне доменне ім’я. Після отримання звернення, наші спеціалісти передадуть отриманий DS запис адміністратору зони і для Вашого домену буде підключено підтримку DNSSEC.

3. Як перевірити, чи підключено DNSSEC для Вашого домену.

Для перевірки Ви можете скористатись відкритими онлайн ресурсами DNSViz або Verisign DNSSEC Debugger. Для цього Вам необхідно перейти на сайт ресурсу, де у відповідному полі ввести необхідне доменне ім’я та почати процес перевірки. Після закінчення перевірки, Ви отримаєте інформацію про те чи підключено DNSSEC для Вашого домену. У випадку, якщо DNSSEC підключено, Ви також отримаєте розгорнуту інформацію про коректність його функціонування.

4. «Підводні камені» при використанні DNSSEC

Більшість проблем із DNSSEC пов’язано з цифровими підписами та їх актуальністю.

Якщо DS записи (котрі знаходяться в адміністратора зони) не співпадатимуть з цифровими підписами записів доменної зони, в коректній роботі домену можуть спостерігатися певні проблеми. Тому рекомендується контролювати актуальність вказаних записів та їх терміни функціонування.

У випадку, якщо Ваш домен обслуговується нашими NS серверами, оновлення цифрових підписів записів зони відбувається автоматично. Проте загальний цифровий підпис (DS) за замовчуванням залишається незмінним. У випадку необхідності його оновлення, генерація нового цифрового підпису та його передача адміністратору зони відбувається за зверненням клієнта.

У випадку, якщо Ваш домен обслуговується сторонніми NS серверами, контроль за усіма цифровим підписам та їх актуальністю покладається на Вас та провайдера DNS, котрий обслуговує Вашу доменну зону.

Також використання DNSSEC може дещо збільшити тривалість обробки запиту для записів Вашого домену. Незначне збільшення тривалості обробки викликане тим, що вона потребує додаткових етапів для перевірки відповідних записів DNS. Проте вказані затримки є несуттєвими і майже непомітні та нівелюються підвищенням рівня безпеки для Вашого домену.

5. Особливості при підключенні та користуванні доменами з DNSSEC

1. Для коректного функціонування домену з DNSSEC необхідно спочатку виконати підписання доменної зони (згенерувати ключі) відповідним набором ключів, після чого передати згенеровані DS записи адміністратору необхідної доменної зони. У випадку неспівпадіння отриманих ключів і тих, що знаходяться в доменній зоні, адміністратор відхилить запит на підключення DNSSEC для домену. У випадку, якщо адміністратору будуть передані сторонні ключі, а доменна зона не буде підписана — DNSSEC для домену не функціонуватиме.
2. Трансфер домену з DNSSEC. При виконанні трансферу домену з DNSSEC, Вам спочатку необхідно переконатись, що реєстратор до якого Ви плануєте перенести свій домен, підтримує використання DNSSEC. Якщо новий реєстратор підтримує DNSSEC, трансфер відбувається в наступні етапи:
   1. Старий реєстратор тимчасово видаляє запис DS в домені
   2. По запиту від нового реєстратора виконується процедура трансферу домену до нього
   3. По завершенню трансферу новий реєстратор надає адміністратору зони відповідні DS записи для домену.

6. Робота домену при розбіжності ключів в доменній зоні та в адміністратора зони

У випадку зміни ключів, котра приведе до їх розбіжності чи неспівпадіння, доменне ім’я перестане коректно функціонувати. Тобто, якщо ключі, котрі знаходяться в доменній зоні (на NS серверах, котрі обслуговують доменну зону) будуть відрізнятися від DS запису, що знаходиться в адміністратора зони — домен не буде працювати. Це означає, що сайт, пошта чи інший функціонал, що знаходиться на цьому домені не буде працювати взагалі.

Можливі варіанти некоректної зміни ключів та роботи домену:

1. В доменній зоні ключ не змінювався, спроби передати адміністратору зони інший ключ. В цьому випадку передача іншого ключа адміністратору зони виконана не буде, оскільки він виконає перевірку відповідності отриманого ключа з тим, що знаходиться в доменній зоні. Ці ключі будуть відрізнятись і адміністратор відхилить заявку на оновлення ключів. В даній ситуації, домен продовжить свою нормальну роботу зі старими ключами та активним DNSSEC.
2. Видалення DS запису в адміністратора та залишення старих ключів в доменній зоні. В даному випадку, домен продовжить свою роботу, проте функція DNSSEC для нього буде вимкнена.
3. Видалення ключів в доменній зоні та залишення старого DS запису в адміністратора зони. Дана ситуація призведе до неможливості перевірки відповідних ключів системою DNS, тому записи доменної зони будуть визнані фальшивими чи скомпрометованими. В наслідок цього, домен припинить свою коректну роботу (сайт, пошта чи інший функціонал не будуть працювати). Відновлення коректної роботи доменного імені можливе після актуалізації ключів в зоні та в адміністратора зони.
4. Зміна ключів в доменній зоні та залишення старого DS запису в адміністратора зони. В цьому випадку, при виконанні системою DNS звірки ключів, буде виявлено їх невідповідність. Через невідповідність ключів, записи доменної зони будуть визнані фальшивими чи скомпрометованими. В наслідок цього, домен припинить свою коректну роботу (сайт, пошта чи інший функціонал не будуть працювати). Відновлення коректної роботи доменного імені можливе після актуалізації ключів в зоні та в адміністратора зони.

7. Стандарти, що підтримує реєстр

Номери алгоритмів, що стандартизовані для використання у DNSSEC, наведені на сайті IANA за наступною АДРЕСОЮ. Реєстр приймає DS записи, якщо відповідний DNSKEY створений за
алгоритмами:

• 8 RSA/SHA-256
• 10 RSA/SHA-512
• 13 ECDSA Curve P-256 with SHA-256
• 14 ECDSA Curve P-384 with SHA-384
• 15 Ed25519

Номери алгоритмів, що стандартизовані для DS записів наведені на сайті IANA за наступною АДРЕСОЮ. Реєстр приймає DS записи створені за алгоритмами:

• 2 SHA-256
• 4 SHA-384