Вебнеймс подписал свои домены DNSSEC

dnsКак заявляют в компании Вебнеймс, этот регистратор первым среди российских коллег внедрил поддержку надстройки безопасности DNSSEC и подписал свои домены. Таким образом, все клиенты Вебнеймса теперь могут использовать DNSSEC со своими доменными именами. Пользователи, домены которых делегированы на DNS’ы регистратора могут подключить DNSSEC в один клик.

Данный шаг, безусловно, будет способствовать активному внедрению новых технологий безопасности доменного пространства, повышению надёжности передачи данных в виртуальной сети и защиты пользователей от современных интернет-угроз.

Что такое DNSSEC?

DNSSEC — это акроним от DNS Security Extensions, читается как «расширенная безопасность DNS». То-есть, надстройка над DNS, созданная для защиты данной части инфраструктуры сети Интернет. Технология сквозного протокола системы безопасности, когда каждое звено адресации подписывается цифровой подписью. Использование DNSSEC позволит быть уверенным, что пользователь соединён с настоящим, аутентичным интернет-сайтом или сервисом, соответствующим данному доменному имени.

Чем плох DNS?

DNS — система доменных имён — была создана для масштабируемых распределённых систем. Основное назначение: получение ip-адреса по символьному доменному имени, получение информации о маршрутизации почты и т.д. По всей видимости, серьёзный упор на высокую безопасность при разработке не делался, так как о первых уязвимостях DNS становится известно ещё в конце 20 века.

Распространённые атаки на DNS — это DNS-спуфинг (domain name spoofing) или заражение DNS-кэша (DNS cache poisoning). Вид хакерских атак, когда нейм-сервер возвращает ложный ip-адрес на запрос вроде-бы правильного доменного имени. При этом трафик направляется на подставной сервер, где злоумышленники получают доступ к персональным данным, паролям и т.д. При этом сам пользователь может даже не подозревать, что его запрос был перенаправлен.

Внедрение DNSSEC в Рунете

Для устранения данных уязвимостей «старого доброго» DNS и была разработана технология DNSSEC. То-есть, в систему DNS внедряются средства проверки целостности передаваемых данных, при этом сами передаваемые данные не шифруются, но их достоверность проверяется криптографическими способами. Немаловажно, что DNSSEC — это обратно-совместимый стандарт.

проверка DNSSEC для домена hostnovosti.ru
Пример доменного имени не защищённого DNSSEC
проверка DNSSEC у домена webnames.ru
Пример доменного имени защищённого DNSSEC

Для работы DNSSEC нужно подписать корневые зоны и домены. Корневая зона была подписана в 2010 году. Российские домены верхнего уровня: .SU подписали в октябре 2011 года, а зоны .RU и .РФ в конце 2012 года. Дальнейшее распространение стандарта DNSSEC в Рунете зависит от компаний (хостеров и регистраторов доменов), которые обслуживают авторитарные DNS-сервера в своих зонах.

Сергей Шариков, директор Webnames, так прокомментировал поддержку стандарта DNSSEC в компании: «От нас, как от администраторов авторитарных DNS-серверов зависит процесс внедрения DNSSEC в Рунете. Поддержка DNSSEC — работа в рамках глобальной инициативы ICANN и исследование достоинств и недостатков DNSSEC в российских реалиях. На этот момент критичным является значительное (в 2-10 раз) увеличение DNS-трафика и хранимой информации на DNS-серверах примерно в 30 раз. Мы к этому готовы, но не можем отвечать за всех операторов связи в России.»

Как включить DNSSEC для домена?

Пользователи доменных услуг компании Вебнеймс могут включить DNSSEC для своих доменов в панели управления, в разделе «Управление доменом»:

как включить DNSSEC для доменного имени

Безусловно, для эффективного применения стандарта DNSSEC требуется его внедрение на всех уровнях DNS-серверов интернет-провайдеров. Но это лишь вопрос времени. А между тем, данная мера позволит повысить доверие к вашим интернет-сайтам простых пользователей и оградить их от некоторых существующих интернет-угроз (DNS-спуфинг/заражение DNS-кэша).

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*