Jeśli jesteś właścicielem domeny internetowej to zapewne już gdzieś spotkałeś się z pojęciem DNSSEC. Co to jest DNSSEC, za co odpowiada i do czego jest mi potrzebny? Zobaczmy.

W zależności od tego, gdzie znajdują się serwery DNS Twojej domeny, moduł ten może być dla Ciebie dostępny lub też nie. Warto podkreślić, że nie każdy operator go obsługuje. Aby odpowiedzieć sobie na pytanie, co to jest DNSSEC, warto w pierwszej kolejności przypomnieć sobie pojęcie strefy DNS. Następnie wyjaśnię Ci czym jest DNSSEC i czy warto go włączyć?

Co to jest DNS?

O tym, czym jest DNS pisaliśmy w osobnym poradniku. Jednak na potrzeby tego artykułu przypomnijmy sobie po krótce definicję. DNS (Domain Name System) specjalny protokół, który daje nam możliwość używania łatwych do zapamiętania domen zamiast adresów IP. Odpowiada on za mechanizm, który rozpoznaje wpisany przez nas adres domeny (np. lh.pl) i na jego podstawie przekierowuje nasze żądanie pod odpowiedni adres IP, czyli do serwera z umieszczoną stroną internetową.

Innymi słowy, jest to system nazw domenowych, który potrafi na podstawie nazwy domeny wskazać odpowiednie miejsce, pod które np. przeglądarka ma się udać, aby uzyskać pożądany zasób.

Co to jest DNSSEC?

Wiemy już, że DNS odpowiada za to, abyśmy po wpisaniu adresu strony zobaczyli odpowiednią witrynę. Trzeba jednak zaznaczyć, że DNS – jak każdy system komputerowy – nie jest w 100% odporny na wszelkie próby manipulacji danych. Istnieją sposoby, które umożliwiają zmanipulowanie odpowiedzi z serwerów DNS, tak, aby żądanie pod określony adres domen przekierować pod inny adres IP. W zabezpieczeniu się przed takim scenariuszem pomaga DNSSEC.

DNSSEC (ang. DNS Security Extensions) jest to zbiór rozszerzeń DNS, który pozwala wzmocnić bezpieczeństwo poprzez zweryfikowanie autentyczności odpowiedzi z serwera DNS. Daje to możliwość postawienia pytania “Czy te DNS rzeczywiście, pochodzą od właściciela strefy?”.

Zasada działania opiera się na wykorzystaniu podpisów cyfrowych w oparciu o szyfrowanie z kluczem publicznym. Dzięki temu integralność i autentyczność danych jest sprawdzana przy każdym żądaniu. Daje to pewność, że dane pochodzą z właściwego źródła i są poprawne. Uniemożliwia to podsłuchiwanie odpowiedzi z serwera DNS i próby manipulacji w celu zmodyfikowania odpowiedzi i przekierowania użytkownika w inne, potencjalnie szkodliwe miejsce.

W momencie kiedy wysyłane jest zapytanie przez użytkownika do serwera, pojawia się konieczność odpowiedzi z użyciem klucza uwierzytelniającego. Takie działanie daje pewnego rodzaju gwarancję, że użytkownicy wchodząc na stronę www, mogą zobaczyć jej faktyczną zawartość. Współcześnie użytkownicy Internetu stają się ofiarami cyberprzestępców, którzy np. tworzą łudząco podobny sklep internetowy, tylko po to aby pozyskać wiele cennych informacji (np. dane do konta bankowego). DNSSEC pomaga zapobiegać tego typu sytuacjom.

Sposób działania DNSSEC

Podpisanie kluczy przez DNSSEC ma charakter łańcuchowy. Wchodząc na stronę internetową np. mojadomena.com Twoja przeglądarka w pierwszej kolejności kieruje swoje zapytanie do strefy głównej DNS (IANA), w drugim kroku odpytuje katalog rozszerzeń .com, a na końcu odpytuje serwery nazw domeny. W momencie uzyskania połączenia przeglądarka internetowa zweryfikuje klucz, jaki został użyty do podpisu strefy głównej, następnie klucz, który został użyty do podpisu katalogów, a dopiero klucz podpisujący witrynę.

Zabezpieczenie domeny protokołem DNSSEC

Pamiętaj, że nie każdy operator obsługuje moduł DNSSEC. Jeśli mimo wszystko zdecydujesz się na zabezpieczenie domeny poprzez DNSSEC to w przypadku domen .pl należy do NASK (rejestrator nadrzędny domen .pl) przekazać skrót klucza, który został użyty do podpisywania konkretnej strefy. Klucz przekazywany jest za pośrednictwem operatora, u którego zarejestrowałeś swoją domenę.

Jeśli nie pamiętasz, gdzie zarejestrowałeś swoją domenę .pl to możesz skorzystać z wyszukiwarki. Po wpisaniu w lupkę nazwy domeny otrzymasz dla niej informacje, jak na załączonym zrzucie ekranu.

Co to jest DNSSEC?

Znajdziesz tutaj przede wszystkim informacje o jej statusie, dacie modyfikacji, okresie rozliczeniowym, danych abonenta (jeśli domena zarejestrowana jest na osobę fizyczną to dane są ukryte, w przypadku rejestracji domeny na firmę dane są jawne). Dodatkowo znajdziesz informacje o kluczu publicznym DNSSEC. Gdyby DNSSEC nie został aktywowany dla domeny to wiersz DNSSEC nie byłby widoczny. Na samym dole znajdziesz natomiast informację dotyczące obecnego rejestratora domeny .pl.

DNSSEC – to musisz wiedzieć

DNSSEC stanowi zabezpieczenie domeny przed cyberprzestępcami. Pamiętaj jednak, że przeglądarki internetowe nie potrafią identyfikować ewentualnego błędu, jaki pojawi się w związku z tym modułem. W momencie pojawienia się błędu przeglądarka zwraca informacje dla użytkownika, iż taka strona nie istnieje. Jest to mało czytelny i niejednoznaczny przekaz, który może wprowadzić w błąd potencjalnych odwiedzających. DNSSEC nie jest jeszcze popularnym rozwiązaniem, chętnie wdrażanym przez operatorów domen. Raz włączony DNSSEC możesz wyłączyć bez wpływu na działanie swojej strony WWW.

Artykuł odpowiedział na twoje pytanie? Udostępnij go dalej:
Obrazek domyślny
Karolina Wierzbińska
Zwolenniczka innowacyjnego podejścia do biznesu w sieci. Od kliku lat głównym zamiłowaniem jest SEO i Content Marketing. Nieustannie śledzi wszelkie nowinki technologiczne. Na co dzień entuzjastka zdrowego trybu życia i zwierząt.