Открыть сервис

DNSSEC

DNSSEC (Domain Name System Security Extensions) — это набор расширений протокола DNS (системы доменных имён), предназначенный для обеспечения целостности и подлинности данных, передаваемых в процессе разрешения доменных имён. DNSSEC не шифрует трафик, а добавляет криптографические цифровые подписи к DNS-записям, что позволяет клиентам проверять, что полученный ответ действительно исходит от авторитетного источника и не был изменён злоумышленником в ходе передачи (атака «человек посередине») или подмены кэша (DNS-спуфинг).

Предпосылки создания

Оригинальный протокол DNS, разработанный в 1980-х годах Полом Мокапетрисом, не предусматривал никаких механизмов безопасности. Он был спроектирован как открытая и децентрализованная система, где любой DNS-сервер мог кэшировать и передавать записи без проверки их подлинности. Это создавало уязвимости:

Осознание этих рисков привело к началу разработки DNSSEC в середине 1990-х годов. Первая спецификация (RFC 2065) была опубликована в 1997 году, но она оказалась сложной в реализации. Более зрелая версия, описанная в серии RFC (4033, 4034, 4035), вышла в 2005 году и стала основой современного DNSSEC.

Как работает DNSSEC

DNSSEC добавляет в DNS четыре новых типа ресурсных записей (RR), которые формируют цепочку доверия:

Процесс проверки

  1. Запрос: клиент (stub-резолвер) отправляет запрос рекурсивному DNS-серверу, поддерживающему DNSSEC.
  2. Получение ответа: рекурсивный сервер запрашивает у авторитетного сервера не только запись (например, A-запись для example.com), но и соответствующую подпись RRSIG.
  3. Верификация: рекурсивный сервер проверяет подпись RRSIG с помощью открытого ключа (DNSKEY) зоны example.com.
  4. Цепочка доверия: сервер последовательно проверяет подлинность DNSKEY зоны example.com, используя DS-запись в родительской зоне .com, затем DNSKEY зоны .com через корневую зону. Корневая зона завершает цепочку, так как её открытый ключ (корневой KSK) является точкой доверия и встроен в доверенное программное обеспечение (например, в ОС или DNS-резолвер).
  5. Результат: если все подписи корректны и цепочка доверия не нарушена, клиент получает подтверждённый ответ. В противном случае возвращается код ошибки SERVFAIL.

Ключи и управление

DNSSEC использует асимметричную криптографию (RSA, ECDSA, Ed25519). Каждая зона имеет два типа ключей для повышения безопасности и гибкости:

Процесс ротации ключей (Rollover) требует синхронизации между родительской и дочерней зонами, чтобы избежать разрыва цепочки доверия.

Преимущества и недостатки

Преимущества

Недостатки

Внедрение и распространение

Внедрение DNSSEC началось с корневой зоны DNS. В 2010 году корневая зона была подписана, что стало ключевым событием для глобального развёртывания. К 2024 году большинство доменов верхнего уровня (gTLD, например, .com, .org, .net) и многие национальные домены (ccTLD, например, .ru, .рф, .de, .uk) поддерживают DNSSEC.

По данным отчётов ICANN и APNIC, по состоянию на 2024 год около 30-35% всех доменов второго уровня имеют подписанные зоны. Однако уровень валидации (проверки подписей) со стороны пользовательских резолверов ниже — примерно 10-15% интернет-трафика проходит проверку DNSSEC. Крупные провайдеры DNS-услуг (Cloudflare, Google Public DNS, Quad9) активно поддерживают валидацию.

Ситуация в России

В России DNSSEC поддерживается на уровне национальных доменов .ru и .рф (Координационный центр доменов .RU/.РФ). Многие крупные регистраторы и хостинг-провайдеры предлагают автоматическое подписание зон для клиентов. Тем не менее, уровень внедрения среди малых и средних сайтов остаётся невысоким из-за сложности настройки.

Критика и альтернативы

DNSSEC критикуется за сложность и отсутствие конфиденциальности. Некоторые эксперты считают, что он не решает проблему полностью, так как не защищает от DDoS-атак на DNS-серверы и не предотвращает атаки на уровне приложений. В ответ на эти недостатки были разработаны альтернативные подходы:

Будущее DNSSEC

Развитие DNSSEC продолжается. Основные направления:

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →