DNSSEC ismertető

DNSSEC ismertető

A DNS mindenki által folyamatosan használt, többnyire láthatatlan, de nélkülözhetetlen szolgáltatás az Interneten. A DNS elleni támadások már évtizedek óta fenyegetik az Internet közösséget: például DNS cache mérgezés, DNS válasz hamisítás útján rosszindulatú támadók eltéríthetik, becsaphatják a gyanútlan felhasználókat. Ezért már a 90-es években megindult a DNSSEC fejlesztés, megjelentek az ezzel kapcsolatos első RFC-k. Azóta ez a technológia sokat fejlődött és általánosan elfogadottá vált: 2010-ben a gyökér domain-ban is bevezették a DNSSEC-et és azóta sorra vezették/vezetik be a legfelső szintű domain-okban is.

A DNSSEC a DNS üzenetek integritását és hitelességét garantálja nyilvános kulcsú titkosítás technológiáján alapuló digitális aláírás útján. A digitális aláírás maga is a DNS üzenet része, maga is DNS rekord. Digitális aláírás gondoskodik a "nincs ilyen rekord" üzenet hitelességéről is.

Különösen olyan domain-okkal kapcsolatban érdemes DNSSEC-et használni, melyek "elkötése" csábító lehet az imposztorok számára. Ha egy domain DNSSEC-et használ, akkor DNSSEC-en alapuló alkalmazásokat is be tud vezetni (SSHFP, DANE). A DNSSEC elvéről és ilyen alkalmazásokról is bővebben lehet olvasni például itt.

A DNSSEC akkor éri el célját, ha a DNSSEC támogatást a DNS minden szereplőjénél bekapcsoljuk. Valószínűleg manapság - éppen úgy, ahogy sokan öntudalanul használnak DNS-t -, sokan használnak tudtukon kívül DNSSEC-et. Például mindenki aki az Internet egyik népszerű rekurzív DNS szerverét, a Google nyilvános rekurzív DNS szerverét használja (pl. a 8.8.8.8 IP címen), mert a Google 2013-ben bevezette ezeken a szerverein a DNSSEC-et.

Ha ellenőrizni akarjuk, hogy mi kliens környezetünkben használunk-e DNSSEC-et, arra megfelelő például ez a web lap, ami a holland Internet közösség és kormány kezdeményezésére jött létre.

A DNSSEC bevezetésével a DNS bonyolultabbá válik a DNS üzemeltetők számára: több a hibalahetőség, és egy-egy hiba könnyebben okozhat nagyobb bajt, mint DNSSEC nélkül.

A .hu felső szintű domainben 2011. óta üzemeltettünk kísérleti DNSSEC rendszert és 2015-ben vezettük be a DNSSEC-cel védett delegálás lehetőségét. A regisztrátorok jelentős része segítséget tud adni a domain használóknak DNSSEC ügyekben is. A .hu alatt közvetlenül használható DNSSEC algoritmusok listája itt olvasható.

Főlap | Regisztrátorok listája | Delegálási szabályok | Meghirdetés | Keresés | Technikai ellenőrzés
Tanácsadó testület | Alternatív vitarendezés | Eseti Választottbíróság | Archívum | Egyebek | Statisztika