dnssec-v1

Dlaczego powinieneś korzystać z zabezpieczenia DNSSEC?

Nie da się zbyt dużo rozmawiać o bezpieczeństwie. To podstawowa wartość, o którą dbamy i nie jest to niczym specjalnie zaskakującym, a wręcz jak najbardziej zrozumiałym. Chcemy być bezpieczni we wszystkich aspektach naszego życia i właśnie dlatego w dzisiejszym artykule poruszymy temat DNSSEC – czyli dodatkowej ochrony naszej domeny. A jako że ochrony nigdy zbyt wiele, przyjrzymy się bliżej temu zagadnieniu.

DNSSEC to rozszerzenie systemu DNS pogłębiające jego zabezpieczenia. Zapewnia uwierzytelnienie źródeł danych (czyli serwerów DNS) za pomocą podpisów cyfrowych i kryptografii asymetrycznej. Oznacza to tyle, iż dane w strefach pakowane są w tzw. paczki RRset, zawierające rekordy rozpoznawane przez taką samą klasę, nazwę i typ. Paczki podpisywane są przy użyciu algorytmów MD5 i RSA lub algorytmów DSA i SHA-1. Grupa rekordów zostaje zaszyfrowana prywatnym kluczem strefy, natomiast użytkownik systemu może sprawdzić informacje za pomocą publicznego klucza strefy. Jest to nic innego jak zabezpieczenie transmisji.

Jak podają statystyki, pod koniec 2017 roku jedynie 1,6% (czyli niewiele ponad 40 tysięcy) nazw w domenie .pl zostało zabezpieczonych przy użyciu protokołu DNSSEC. Aktualnie liczba nazw objętych ochroną znacznie wzrosła (do prawie 490 tysięcy), co stanowi 20% wszystkich nazw w domenie .pl. Świadomość posiadaczy domen rośnie, jednak liczby te są wciąż za małe, by nie budzić niepokoju.

Co mi grozi?

Protokół DNS został tak zaprojektowany, by pomijać weryfikację autentyczności odpowiedzi otrzymanej na podane w Internecie zapytanie. Przy jego tworzeniu nie przewidziano, że usługi dostępne przez ten protokół zostaną tak szybko spopularyzowane, a więc nie przygotowano się na związane z tym zagrożenia. Przesyłane w ten sposób informacje nie są utajnione ani zabezpieczone przed modyfikacją czy sfałszowaniem, co potencjalnie może się zdarzyć. Dotychczas skupiano się na bezpieczeństwie samych usług (np. zabezpieczanie dostępu do serwisów bankowych), pomijając zabezpieczenie podstawy działania tych usług – domeny. Naraża to użytkowników na nieświadome ujawnienie danych na sfałszowanych stronach internetowych, a przez to utratę kontroli nad istotnymi kontami lub na wykorzystanie danych przed nieupoważnione podmioty trzecie.

Sama NASK od dłuższego czasu promuje używanie DNSSEC, co znacznie zwiększa wiarygodność i zaufanie do danej witryny oraz chroni zarówno użytkownika strony, jak i jej właściciela.

O bezpieczeństwie można mówić i mówić, a im więcej się mówi, tym większa szansa, że faktycznie to bezpieczeństwo się zwiększy. Jeżeli możemy walczyć z fałszerstwem i oszustwami, to wręcz naszym obowiązkiem jest to zrobić. Jeśli wcześniej nie był ci znany ten temat – nie czekaj i podpisz swoją domenę już dziś.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>