Как настроить защиту доменов с помощью DNSSEC

Набор расширений протокола DNS (DNSSEC) позволяет защитить домен от атак, связанных с подменой кеша DNS.

Как настроить DNSSEC

Ниже представлено два варианта настройки DNSSEC. Выберите нужный в зависимости от того, какие серверы доменных имен вы используете.

Не рекомендуется изменять серверы доменных имен при включенном DNSSEC. В противном случае разрешение домена может быть невозможно.

Серверы доменных имен Google Domains

Чтобы включить DNSSEC для DNS-серверов Google Domains, выполните следующие действия:

  1. Войдите в аккаунт Google Domains.
  2. Выберите домен.
  3. Нажмите на значок меню Меню
  4. Нажмите DNS.
  5. Найдите раздел DNSSEC.
  6. Нажмите Включить DNSSEC. Здесь же можно отключить DNSSEC.

После того как вы включите набор расширений DNSSEC, на его активацию уйдет ещё примерно два часа. При этом деактивация функции может занять до двух дней.

Пользовательские серверы доменных имен

Для пользовательских серверов доменных имен настраивать DNSSEC нужно через стороннего поставщика DNS. При этом также необходимо активировать DNSSEC в Google Domains. Вот как это сделать:
  1. Найдите записи DNSKEY, которые поставщик услуг DNS создал для вашего домена.
  2. Узнайте у поставщика DNS следующие значения:
    • Тег ключа: числовое значение, которое связано с существующей записью DNSKEY.
    • Алгоритм: алгоритм шифрования, на основе которого создан ключ безопасности в записи DNSKEY. Обычно он используется в паре с хеш-функцией, как в RSA/SHA1.
    • Тип дайджеста: алгоритм, на основе которого создан дайджест записи DNSKEY. Другие названия: алгоритм генерации дайджеста, хеш дайджеста, хеш-функция дайджеста.
    • Дайджест: хешированное значение записи DNSKEY, которое позволяет идентифицировать ее, не раскрывая значения ключа. Длина дайджеста зависит от его типа и составляет:
      1. 40 шестнадцатеричных цифр для SHA1;
      2. 64 шестнадцатеричные цифры для SHA256;
      3. 96 шестнадцатеричных цифр для SHA384.
  3. Для каждой записи DNSKEY создайте как минимум одну запись ресурса DS. Для этого:
    1. Войдите в аккаунт Google Domains.
    2. Выберите домен.
    3. Нажмите на значок меню Меню.
    4. Нажмите DNS.
    5. Найдите раздел DNSSEC.
    6. Создайте запись с помощью значений, полученных на предыдущих шагах. 
Эта информация оказалась полезной?
Как можно улучшить эту статью?