Il DNS è stato progettato più di 30 anni fa, quando la sicurezza non era un obiettivo primario di internet. Senza ulteriori protezioni, è possibile per il MITM attaccanti per la parodia di record e di indurre gli utenti a siti di phishing. DNSSEC ferma, ed è facile da attivare.
DNS di per Sé Non È Sicuro
Il sistema DNS non include metodi per verificare che la risposta alla richiesta non è stata forgiata, o che in qualsiasi altra parte del processo non è stato interrotto da un utente malintenzionato. Questo è un problema, perché, ogni volta che un utente vuole collegarsi al tuo sito web, devono fare una ricerca DNS per tradurre il tuo nome di dominio in un utilizzabile indirizzo IP. Se l’utente si connette da un luogo insicuro, come un negozio di caffè, è possibile che attacchi a sedersi in mezzo e lo spoofing DNS record. Questo attacco potrebbe consentire loro di reindirizzare gli utenti a una pagina pericolosa modificando l’indirizzo IP di Un record.
Per fortuna, c’è una soluzione—DNSSEC, noto anche come DNS Security Extensions, consente di risolvere questi problemi. Protegge le ricerche DNS firmando il record DNS di utilizzo delle chiavi pubbliche. Con DNSSEC abilitato, se l’utente ottiene nuovamente una risposta dannosa, proprio browser, in grado di rilevare. Gli aggressori non hanno la chiave privata utilizzata per firmare il legittimo record, e non è più possibile passare un falso.
DNSSEC firma di tasti va tutta la strada fino alla catena. Quando ci si connette a example.com il browser si connette prima di DNS principale zona, gestito da IANA, quindi la directory per l’estensione (.com, per esempio), poi per il server dns per il tuo dominio. Quando ci si connette alla radice DNS di zona, il vostro browser controllare la zona principale chiave di firma gestito da IANA per verificare che sia corretta, allora il .com directory chiave di firma (firmato dalla zona principale), quindi la chiave di firma per il tuo sito, che è firmato dal .com directory e non può essere contraffatto.
Vale la pena notare che in un prossimo futuro, questa non vuole essere tanto di un problema. Il DNS viene spostato su HTTPS, che la protezione contro tutti i tipi di attacchi MITM, fare DNSSEC inutili, e anche evitare che gli Isp da spiare la cronologia di navigazione—il che spiega perché Comcast sta facendo pressione contro di essa. Come si distingue, però, è una funzione opzionale in Chrome e Firefox (con il supporto del sistema operativo venuta in Windows presto), quindi avrai ancora voglia di abilitare il protocollo DNSSEC nel frattempo.
Come Abilitare il protocollo DNSSEC
Se si esegue un sito web, in particolare uno che tratta i dati dell’utente, avrai voglia di accendere il protocollo DNSSEC per evitare qualsiasi DNS vettori di attacco. Non c’è aspetto negativo di esso, a meno che il tuo provider DNS offre solo come “premium”, come GoDaddy fa. In tal caso, si consiglia di spostare per un corretto DNS del provider, come i DNS di Google, che non nickel e dime per la sicurezza di base. Potete leggere la nostra guida all’utilizzo di qui, o per saperne di più circa il trasferimento del tuo dominio.
Se si utilizza Google Domains, il programma di installazione è letteralmente un solo pulsante, trovato nel dominio console in “DNS” nella barra laterale. Selezionare “Attiva DNSSEC.” Questo richiederà un paio d’ore per completare e firmare tutte le chiavi necessarie. I Domini di Google supporta pienamente DNS su HTTPS, in modo che gli utenti che hanno abilitato sarà del tutto sicura.
Per Namecheap, questa opzione è anche solo un interruttore sotto “Advanced DNS” nelle impostazioni del dominio, ed è completamente gratuito:
Se si utilizza AWS Route 53, purtroppo non supporta il protocollo DNSSEC. Questa non è una controindicazione all’elastico DNS caratteristiche che la rendono grande, in primo luogo: caratteristiche come Alias record, DNS a livello di bilanciamento del carico, controlli sanitari, e la latenza-based routing. Perché Route 53 non può ragionevolmente segno questi record ogni volta si cambia, DNSSEC non è possibile. Tuttavia, se si sta utilizzando il vostro server o un altro provider DNS, è ancora possibile abilitare il protocollo DNSSEC per i domini registrati con Route 53—non solo domini con Route 53 come il loro servizio DNS.