تم تصميم DNS منذ أكثر من 30 عامًا ، عندما لم يكن الأمان هو التركيز الأساسي للإنترنت. بدون حماية إضافية ، يمكن لمهاجمي MITM انتحال السجلات وتوجيه المستخدمين إلى مواقع التصيد الاحتيالي. يضع DNSSEC حدًا لذلك ، ومن السهل تشغيله.
DNS بنفسه غير آمن
لا يتضمن نظام DNS أي طرق مضمنة للتحقق من أن الاستجابة للطلب لم يتم تزويرها ، أو أن أي جزء آخر من العملية لم يقطعه المهاجم. هذه مشكلة لأنه كلما أراد المستخدم الاتصال بموقعك على الويب ، يتعين عليه إجراء بحث DNS لترجمة اسم المجال الخاص بك إلى عنوان IP قابل للاستخدام.إذا كان المستخدم يتصل من مكان غير آمن ، مثل المقهى ، فمن الممكن أن يجلس المهاجمون الضارون في منتصف سجلات نظام أسماء النطاقات المخادعة. قد يسمح لهم هذا الهجوم بإعادة توجيه المستخدمين إلى صفحة ضارة عن طريق تعديل سجل عنوان IP.
لحسن الحظ ، هناك حل - DNSSEC ، المعروف أيضًا باسم امتدادات أمان DNS ، يعمل على إصلاح هذه المشكلات. يؤمن عمليات بحث DNS عن طريق توقيع سجلات DNS الخاصة بك باستخدام المفاتيح العامة. مع تمكين DNSSEC ، إذا استعاد المستخدم استجابة ضارة ، يمكن لمتصفحه اكتشاف ذلك. لا يملك المهاجمون المفتاح الخاص المستخدم للتوقيع على السجلات الشرعية ، ولم يعد بإمكانهم تمرير التزوير.
توقيع DNSSEC للمفاتيح يصل إلى أعلى السلسلة. عندما تتصل بـ
example.com
، يتصل متصفحك أولاً بمنطقة جذر DNS ، التي تديرها IANA ، ثم بالدليل الخاص بالملحق (
com
، على سبيل المثال) ، ثم إلى خوادم الأسماء لنطاقك. عند الاتصال بمنطقة جذر DNS ، سيتحقق متصفحك من مفتاح توقيع منطقة الجذر الذي تديره IANA للتحقق من صحته ، ثم
com
مفتاح توقيع الدليل (موقع بواسطة منطقة الجذر) ، ثم مفتاح التوقيع الخاص بموقعك ، والذي تم توقيعه بواسطة الدليل
comولا يمكن تزويره.
تجدر الإشارة إلى أنه في المستقبل القريب ، لن يمثل هذا مشكلة كبيرة. يتم نقل DNS إلى HTTPS ، مما سيؤمنه ضد جميع أنواع هجمات MITM ، ويجعل DNSSEC غير ضروري ، ويمنع أيضًا مزودي خدمة الإنترنت من التجسس على سجل التصفح الخاص بك - وهو ما يفسر سبب قيام Comcast بالضغط ضده. على الرغم من ذلك ، فهي ميزة اختيارية في Chrome و Firefox (مع دعم نظام التشغيل في Windows قريبًا) ، لذلك ستظل ترغب في تمكين DNSSEC في هذه الأثناء.
كيفية تمكين DNSSEC
إذا كنت تدير موقعًا على الويب ، خاصةً موقعًا يتعامل مع بيانات المستخدم ، فسترغب في تشغيل DNSSEC لمنع أي ناقلات هجوم DNS. لا يوجد جانب سلبي لها ، ما لم يقدمها مزود DNS الخاص بك فقط كميزة "مميزة" ، مثل GoDaddy. في هذه الحالة ، نوصي بالانتقال إلى مزود نظام أسماء نطاقات مناسب ، مثل Google DNS ، والذي لن يمنحك الحماية الأساسية.يمكنك قراءة دليلنا لاستخدامه هنا ، أو قراءة المزيد حول نقل المجال الخاص بك.
إذا كنت تستخدم Google Domains ، فإن الإعداد حرفياً هو زر واحد فقط ، موجود في وحدة تحكم النطاق ضمن "DNS" في الشريط الجانبي. حدد "تمكين DNSSEC". سيستغرق ذلك بضع ساعات لإكمال وتوقيع جميع المفاتيح المطلوبة. يدعم Google Domains أيضًا DNS بشكل كامل عبر HTTPS ، لذا فإن المستخدمين الذين قاموا بتمكين ذلك سيكونون آمنين تمامًا.
بالنسبة إلى Namecheap ، يعد هذا الخيار أيضًا مجرد تبديل ضمن "DNS المتقدم" في إعدادات النطاق ، وهو مجاني تمامًا:
إذا كنت تستخدم AWS Route 53 ، فهي للأسف لا تدعم DNSSEC. يعد هذا جانبًا سلبيًا ضروريًا لميزات DNS المرنة التي تجعله رائعًا في المقام الأول: ميزات مثل سجلات الاسم المستعار وموازنة تحميل مستوى DNS والفحوصات الصحية والتوجيه المستند إلى زمن الوصول.نظرًا لأن الطريق 53 لا يمكنه التوقيع بشكل معقول على هذه السجلات في كل مرة يتم تغييرها ، فإن DNSSEC غير ممكن. ومع ذلك ، إذا كنت تستخدم خوادم الأسماء الخاصة بك أو مزود DNS مختلف ، فلا يزال من الممكن تمكين DNSSEC للنطاقات المسجلة باستخدام Route 53 - وليس فقط المجالات التي تستخدم Route 53 كخدمة DNS الخاصة بهم.
