روابط سريعة
تم تصميم DNS منذ أكثر من 30 عامًا، عندما لم يكن الأمان هو المحور الأساسي للإنترنت. بدون حماية إضافية، من الممكن أن يقوم المهاجمون MITM بتزوير السجلات وتوجيه المستخدمين إلى مواقع التصيد الاحتيالي. يضع DNSSEC حدًا لذلك، ومن السهل تشغيله.
DNS ليس آمنًا في حد ذاته
لا يتضمن نظام DNS أي طرق مدمجة للتحقق من عدم تزوير الاستجابة للطلب، أو عدم مقاطعة أي جزء آخر من العملية من قبل أحد المهاجمين. هذه مشكلة لأنه كلما أراد مستخدم الاتصال بموقعك على الويب، يتعين عليه إجراء بحث DNS لترجمة اسم المجال الخاص بك إلى عنوان IP صالح للاستخدام. إذا كان المستخدم يتصل من مكان غير آمن، مثل مقهى، فمن الممكن أن يقوم المهاجمون الضارون باختراقه. الجلوس في الوسط وتزييف سجلات DNSقد يسمح لهم هذا الهجوم بإعادة توجيه المستخدمين إلى صفحة ضارة عن طريق تعديل سجل عنوان IP A.
لحسن الحظ، هناك حل — يعمل DNSSEC، المعروف أيضًا باسم ملحقات أمان DNS، على إصلاح هذه المشكلات. فهو يؤمن عمليات البحث في DNS من خلال توقيع سجلات DNS باستخدام المفاتيح العامة. مع تمكين DNSSEC، إذا تلقى المستخدم استجابة ضارة، فيمكن للمتصفح اكتشاف ذلك. لا يمتلك المهاجمون المفتاح الخاص المستخدم لتوقيع السجلات الشرعية، ولا يمكنهم بعد الآن تمرير تزوير.
يمتد توقيع DNSSEC للمفاتيح إلى أعلى السلسلة. عندما تتصل بـ
example.com يتصل متصفحك أولاً بمنطقة جذر DNS، التي تديرها IANA، ثم بالدليل الخاص بالامتداد (
.com على سبيل المثال، ثم إلى خوادم الأسماء لنطاقك. عند الاتصال بمنطقة جذر DNS، سيتحقق متصفحك من مفتاح توقيع منطقة الجذر الذي تديره IANA للتأكد من صحته، ثم
.com مفتاح توقيع الدليل (الموقّع بواسطة منطقة الجذر)، ثم مفتاح التوقيع الخاص بموقعك، والذي يتم توقيعه بواسطة
.com الدليل ولا يمكن تزويره.
من الجدير بالذكر أنه في المستقبل القريب، لن تكون هذه مشكلة كبيرة. يتم نقل DNS إلى HTTPS، مما سيؤمنه ضد جميع أنواع هجمات MITM، ويجعل DNSSEC غير ضروري، ويمنع أيضًا مزودي خدمة الإنترنت من التجسس على سجل التصفح الخاص بك – وهو ما يفسر سبب كومكاست تمارس الضغوط ضدهاومع ذلك، فهي ميزة اختيارية في Chrome وFirefox (مع دعم نظام التشغيل القادم في Windows قريبًا)، لذا ستظل ترغب في تمكين DNSSEC في هذه الأثناء.
كيفية تمكين DNSSEC
إذا كنت تدير موقعًا على الويب، وخاصةً موقعًا يتعامل مع بيانات المستخدم، فستحتاج إلى تشغيل DNSSEC لمنع أي نواقل هجوم DNS. لا يوجد جانب سلبي لذلك، ما لم يقدمه مزود DNS الخاص بك كميزة “متميزة” فقط، مثلما يفعل GoDaddyفي هذه الحالة، نوصي بالانتقال إلى مزود DNS مناسب، مثل Google DNS، الذي لن يفرض عليك رسومًا باهظة مقابل الأمان الأساسي. يمكنك قراءة دليلنا لاستخدامه هنا، أو قراءة المزيد حول نقل المجال الخاص بك.
إذا كنت تستخدم Google Domains، فإن الإعداد عبارة عن زر واحد فقط، يوجد في وحدة تحكم المجال ضمن “DNS” في الشريط الجانبي. حدد “تمكين DNSSEC”. سيستغرق إكمال هذا وتوقيع جميع المفاتيح المطلوبة بضع ساعات. كما يدعم Google Domains DNS عبر HTTPS بشكل كامل، لذا فإن المستخدمين الذين تم تمكين هذه الميزة لديهم سيكونون آمنين تمامًا.
بالنسبة لـ Namecheap، يعد هذا الخيار أيضًا مجرد تبديل ضمن “Advanced DNS” في إعدادات المجال، وهو مجاني تمامًا:
إذا كنت تستخدم AWS Route 53، فمن المؤسف أنه لا يدعم DNSSEC. وهذا عيب ضروري لميزات DNS المرنة التي تجعله رائعًا في المقام الأول: ميزات مثل سجلات الأسماء المستعارة، وموازنة تحميل مستوى DNS، والتحقق من الحالة، والتوجيه القائم على زمن الوصول. ولأن Route 53 لا يمكنه توقيع هذه السجلات بشكل معقول في كل مرة تتغير فيها، فإن DNSSEC غير ممكن. ومع ذلك، إذا كنت تستخدم خوادم الأسماء الخاصة بك أو مزود DNS مختلف، فما زال من الممكن تمكين DNSSEC للمجالات المسجلة باستخدام Route 53 — ولكن ليس المجالات التي تستخدم Route 53 كخدمة DNS الخاصة بها.