DNSSEC (DNS Security Extensions) - DNS cavablarının cryptographic imzalanmasıdır. Cache poisoning və DNS spoofing hücumlarına qarşı qoruyur.

DNS niyə təhlükəlidir?

Original DNS protokol

1983-də yaradılıb - heç bir təhlükəsizlik mexanizmi yox idi. Cavabların doğruluğunu yoxlamaq mümkün deyildi.

Cache poisoning

Hacker DNS server-ə saxta cavab göndərir - server cache-də saxlayır - bütün istifadəçilər hacker server-inə yönlənir.

DNSSEC necə işləyir?

Cryptographic imzalar

Hər DNS qeydi private açar ilə imzalanır. Public açar DNS-də yayılır. Hər kəs imzanı yoxlaya bilər.

Chain of trust

Root zone → TLD (.az) → domain (sayt.az) - hər biri öz açarı ilə altdakına etibar edir. Root etibar edilir.

DNSSEC qeyd növləri

DNSKEY

Public açarı saxlayır. Resolver bunu DNS imzaları yoxlamaq üçün istifadə edir.

RRSIG

DNS qeydinin imzasıdır. Hər DNS cavabı imzalanır.

DS

Delegation Signer - parent zone-da child zone-un imzasına etibar.

NSEC/NSEC3

"Bu domain mövcud deyil" cavabını imzalayır - negative response qoruması.

DNSSEC-in faydaları

Cache poisoning qoruması

Hacker saxta cavabı imzalaya bilməz - private açarı bilmir.

Phishing qarşısını alır

Hacker bank DNS-i poison edib öz fake bank serverinə yönləndirə bilməz.

DANE üçün baza

DANE - DNS-Based Authentication of Named Entities. TLS sertifikatlarını DNS-də yoxlamaq.

DNSSEC necə aktivləşdirmək?

cPanel-də

cPanel → "Zone Editor" → DNSSEC → "Enable" - avtomatik açar yaranır.

Cloudflare-də

DNS → DNSSEC → "Enable" → DS qeydini görsəndi. Domain registrar-da DS qeydini əlavə edin.

Domain registrar-da

"DNSSEC" və ya "DS Records" - Cloudflare-dən aldığın DS qeydini buraya yapışdırın.

DNSSEC aktivləşdirildi necə yoxlamaq?

dnssec-analyzer.verisignlabs.com

Domeninizi yazın - DNSSEC zəncirini yoxlayır.

dig +dnssec

dig +dnssec sayt.az

RRSIG qeydləri görsənməlidir.

DNSSEC dezavantajları

Mürəkkəblik

Açar dövriyyəsi - hər 1-2 ildə bir dəyişdirilməlidir. Avtomatlaşdırma vacibdir.

DNS cavab ölçüsü

İmzalar əlavə yer tutur - DNS UDP paket ölçüsü artır. Bəzi köhnə firewallar problemli ola bilər.

Performans

İmza yoxlaması cüzi gecikmə əlavə edir - 5-10ms.

Hansı domenlər DNSSEC-ə malikdir?

Hökumət domenləri

.gov, .mil - hamısı DNSSEC. Bank və hökumət saytları üçün məcburi.

TLD-lər

.com, .org, .net, .az - hamısı DNSSEC dəstəkləyir. .az 2020-də DNSSEC qoşulub.

DANE və SMTP MTA-STS

DANE for email

Email server-in TLS sertifikatını DNS-də doğrulamaq. DNSSEC tələb edir.

DNSSEC + Cloudflare

Cloudflare pulsuz DNSSEC dəstəkləyir - bir kliklə aktivləşir.

Hostinq.az PowerDNS DNSSEC

Hostinq.az PowerDNS istifadə edir - DNSSEC support hazır. Bütün domenlərə tətbiq oluna bilər.

Hostinq.az hosting - DNSSEC qoruması ilə.