VietNetwork.Vn

DNS đã được thiết kế hơn 30 năm trước, khi bảo mật không phải là trọng tâm chính của Internet. Nếu không có biện pháp bảo vệ bổ sung, những kẻ tấn công MITM có thể giả mạo hồ sơ và dẫn người dùng đến các trang web lừa đảo. DNSSEC dừng lại điều đó và rất dễ dàng để bật.


1. DNS của chính nó không an toàn

Hệ thống DNS không bao gồm các phương pháp tích hợp để xác minh rằng phản hồi cho yêu cầu không bị giả mạo hoặc bất kỳ phần nào khác của quá trình không bị gián đoạn bởi kẻ tấn công. Đây là một vấn đề vì bất cứ khi nào người dùng muốn kết nối với trang web của bạn, họ phải thực hiện tra cứu DNS để dịch tên miền của bạn thành địa chỉ IP có thể sử dụng được. Nếu người dùng đang kết nối từ một nơi không an toàn, chẳng hạn như quán cà phê, thì những kẻ tấn công độc hại có thể ở giữa và giả mạo các bản ghi DNS. Cuộc tấn công này có thể cho phép chúng chuyển hướng người dùng đến một trang độc hại bằng cách sửa đổi bản ghi địa chỉ IP A.

May mắn thay, có một giải pháp — DNSSEC, còn được gọi là Tiện ích mở rộng bảo mật DNS, khắc phục những vấn đề này. Nó bảo mật các tra cứu DNS bằng cách ký các bản ghi DNS của bạn bằng các khóa công khai. Với DNSSEC được bật, nếu người dùng nhận được phản hồi độc hại, trình duyệt của họ có thể phát hiện ra điều đó. Những kẻ tấn công không có khóa cá nhân được sử dụng để ký các bản ghi hợp pháp và không thể giả mạo được nữa.

Việc ký các khóa của DNSSEC diễn ra trong toàn bộ chuỗi. Khi bạn kết nối với   Đăng nhập để xem liên kết, trình duyệt của bạn trước tiên kết nối với vùng gốc DNS, do IANA quản lý, sau đó đến thư mục dành cho tiện ích mở rộng (.comví dụ:), sau đó đến máy chủ định danh cho miền của bạn. Khi bạn kết nối với vùng gốc DNS, trình duyệt của bạn sẽ kiểm tra khóa ký vùng gốc do IANA quản lý để xác minh rằng nó chính xác, sau đó   Đăng nhập để xem liên kết khóa ký thư mục (được ký bởi vùng gốc), sau đó là khóa ký cho trang web của bạn. được ký bởi thư   Đăng nhập để xem liên kết và không thể giả mạo.

Cần lưu ý rằng trong tương lai gần, điều này sẽ không còn nhiều vấn đề nữa. DNS đang được chuyển sang HTTPS, điều này sẽ bảo mật nó trước tất cả các loại tấn công MITM, làm cho DNSSEC trở nên không cần thiết và cũng ngăn các ISP theo dõi lịch sử duyệt web của bạn — điều này giải thích tại sao Comcast đang vận động hành lang chống lại nó. Mặc dù vậy, đây là một tính năng tùy chọn trong Chrome và Firefox ( với hỗ trợ hệ điều hành sắp có trong Windows ), vì vậy bạn vẫn muốn bật DNSSEC trong thời gian chờ đợi.

2. Cách bật DNSSEC

Nếu bạn đang chạy một trang web, đặc biệt là một trang web xử lý dữ liệu người dùng, bạn sẽ muốn bật DNSSEC để ngăn chặn bất kỳ vectơ tấn công DNS nào. Không có nhược điểm của nó, trừ khi nhà cung cấp DNS của bạn chỉ cung cấp nó như một tính năng "cao cấp", giống như GoDaddy. Trong trường hợp đó, chúng tôi khuyên bạn nên chuyển sang nhà cung cấp DNS thích hợp, chẳng hạn như Google DNS, nhà cung cấp này sẽ không chi tiền cho bạn để bảo mật cơ bản. Bạn có thể đọc hướng dẫn của chúng tôi để sử dụng nó tại đây hoặc đọc thêm về cách  chuyển miền của bạn.

Nếu bạn đang sử dụng Google Domains, thiết lập theo nghĩa đen chỉ là một nút, được tìm thấy trong bảng điều khiển miền dưới "DNS" trong thanh bên. Chọn "Bật DNSSEC". Quá trình này sẽ mất một vài giờ để hoàn thành và ký tất cả các khóa được yêu cầu. Google Domains cũng hỗ trợ đầy đủ DNS qua HTTPS, vì vậy người dùng đã bật tính năng này sẽ hoàn toàn an toàn.


Đối với Namecheap, tùy chọn này cũng chỉ là một nút chuyển trong "Advanced DNS" trong cài đặt miền và hoàn toàn miễn phí:


Rất tiếc, nếu bạn đang sử dụng AWS Route 53 không hỗ trợ DNSSEC. Đây là một nhược điểm cần thiết đối với các tính năng DNS đàn hồi khiến nó trở nên tuyệt vời ngay từ đầu: các tính năng như bản ghi Bí danh, cân bằng tải mức DNS, kiểm tra tình trạng và định tuyến dựa trên độ trễ. Vì Tuyến đường 53 không thể ký hợp lý các bản ghi này mỗi khi chúng thay đổi, nên không thể thực hiện được DNSSEC. Tuy nhiên, nếu bạn đang sử dụng máy chủ định danh của riêng mình hoặc một nhà cung cấp DNS khác, bạn vẫn có thể bật DNSSEC cho các miền  được đăng ký sử dụng Tuyến đường 53 — chỉ không phải các miền sử dụng Tuyến đường 53 làm dịch vụ DNS của họ.