DNSSEC (Domain Name System Security Extensions) to zestaw specyfikacji IETF (RFC 4033, 4034 i 4035 z marca 2005) dodajacy kryptograficzne podpisy do rekordow DNS. Bez DNSSEC resolver nie moze zweryfikowac, czy odpowiedz pochodzi z autorytatywnego serwera i nie zostala zmieniona w transmisji, co umozliwia ataki typu cache poisoning, DNS spoofing i man in the middle. Z DNSSEC kazdy zestaw rekordow jest podpisywany kluczem prywatnym wlasciciela strefy, a resolver waliduje go kluczem publicznym. Strefa root jest podpisana od 15 lipca 2010. W 2025 ponad 90 procent ccTLD i wszystkie duze gTLD (com, net, org, info, biz) wspieraja DNSSEC. Adopcja na poziomie domen rozni sie: Holandia, Szwecja, Czechy i Norwegia powyzej 60 procent, inne kraje ponizej 5 procent.
Jak dziala DNSSEC?
- DNSKEY: klucze publiczne. ZSK podpisuje rekordy, KSK podpisuje zestaw DNSKEY.
- RRSIG: podpis cyfrowy zestawu rekordow.
- DS (Delegation Signer): hash KSK potomnej, publikowany w strefie nadrzednej. Zamyka lancuch zaufania.
- NSEC lub NSEC3: dowodzi nieistnienia rekordu. NSEC3 hashuje nazwy.
Walidujacy resolver startuje od root, sprawdza KSK root przez wbudowany trust anchor (root key, ostatnia rotacja pazdziernik 2018, KSK 19036 do KSK 20326) i podaza lancuchem przez TLD do strefy. Brak lub bledny podpis daje SERVFAIL.
Jakim atakom zapobiega DNSSEC?
- Cache poisoning, atak Kaminsky 2008.
- DNS spoofing na publicznym WiFi.
- Skutki przejec BGP.
- Skompromitowany serwer autorytatywny (ograniczona ochrona).
Czego DNSSEC NIE robi
- Nie szyfruje zapytan DNS. Do tego DoH (RFC 8484) lub DoT (RFC 7858).
- Nie chroni ostatniej mili, chyba ze klient waliduje sam.
- Nie powstrzymuje DDoS, wrecz wzmacnia amplification.
- Nie uwierzytelnia strony www. To rola TLS.
Jak wlaczyc DNSSEC?
- Wybierz dostawce DNS z DNSSEC: Cloudflare, AWS Route 53 (grudzien 2020), Google Cloud DNS, Azure DNS (2024), DNSimple, Hurricane Electric, Namecheap, Gandi, OVH, INWX, Hetzner, Porkbun, nazwa.pl.
- Wlacz DNSSEC w panelu dostawcy.
- Skopiuj rekord DS.
- Wklej w panel rejestratora.
- Poczekaj do 48 godzin i sprawdz
dig +dnssec twojadomena.pl A.
Jak zweryfikowac DNSSEC?
- Online: DNSViz, Verisign DNSSEC Debugger, Internet.nl, MxToolbox.
- Wiersz polecen:
dig +dnssec example.pllubdelv example.pl. - Przegladarka: rozszerzenie "DNSSEC/TLSA Validator" CZ.NIC.
Algorytmy
| Nr | Algorytm | Status |
|---|---|---|
| 5 | RSA/SHA 1 | Przestarzaly |
| 8 | RSA/SHA 256 | Najpopularniejszy |
| 10 | RSA/SHA 512 | Wieksze podpisy |
| 13 | ECDSA P 256 | Zalecany nowoczesny |
| 14 | ECDSA P 384 | Wyzsze bezpieczenstwo |
| 15 | Ed25519 | Kompaktowy |
| 16 | Ed448 | Wysokie bezpieczenstwo |
Rotacja kluczy
ZSK co 1 do 3 miesiecy, KSK co 1 do 2 lat. Pierwsza rotacja root KSK w pazdzierniku 2018. Kolejna planowana przez ICANN na 2026 lub 2027.
DNSSEC i DANE
DANE (RFC 6698, sierpien 2012) wykorzystuje podpisane DNSSEC rekordy TLSA do publikacji fingerprintow certyfikatow TLS w DNS. Powszechne w SMTP (Mail.de, Posteo, Mailbox.org). W HTTPS w przegladarkach nie przyjelo sie.
DNSSEC i DoH
- DNSSEC gwarantuje autentycznosc.
- DoH gwarantuje poufnosc.
Cloudflare 1.1.1.1, Google 8.8.8.8 i Quad9 9.9.9.9 waliduja DNSSEC i oferuja DoH/DoT.
Czeste bledy
- Brak aktualizacji DS po rollover.
- Zmiana dostawcy bez koordynacji DNSSEC.
- Algorytm niewspierany przez wszystkie resolvery.
- Brak monitoringu wygasania podpisow.
- Mylenie DNSSEC z HTTPS lub SPF/DKIM/DMARC.
Jak InspectWP pomaga z DNSSEC?
InspectWP odpytuje rekordy DNS analizowanej domeny i raportuje, czy odpowiedz zawiera podpisy DNSSEC i poprawny lancuch zaufania.