Синопсис
Когда вы вводите адрес сайта, ваш компьютер обращается к DNS — системе, которая переводит имена в IP-адреса серверов.
Но обычный DNS не проверяет подлинность ответов: злоумышленник может подменить данные и направить вас на фальшивый сайт.
DNSSEC добавляет цифровые подписи и проверку целостности — превращая DNS в систему доверия “по факту”, а не “по умолчанию”.
Коротко и по делу: подписи против подмены
DNSSEC — это цифровая “пломба” на каждой DNS-записи.
Если кто-то попытается её подделать, система увидит, что подпись не совпадает, и не примет фальшивые данные.
Как работает система DNS
DNS переводит доменные имена в IP-адреса.
Это распределённая система, где каждый сервер знает часть карты мира:
Root → зона (.com) → домен (example.com).
| Этап | К кому обращается DNS-сервер | Что возвращает |
|---|---|---|
| 1 | Корневой сервер | Адрес зоны (.com, .ru и т.д.) |
| 2 | Сервер зоны (.com) | Адрес авторитетного DNS для домена |
| 3 | Авторитетный сервер домена | IP-адрес сайта |
DNS — это телефонная книга интернета, но без проверки, кто записал номер.
В чём уязвимость обычного DNS
Обычный DNS доверяет любому ответу, что делает возможными атаки.
| Тип атаки | Что происходит |
|---|---|
| DNS spoofing | Подмена ответа на DNS-запрос |
| Cache poisoning | В кэше сохраняется ложная запись |
| Man-in-the-middle | Перехват и изменение пакетов |
| DNS hijacking | Взлом учётной записи домена |
DNS был создан в эпоху доверия — и это его слабость.
Что такое DNSSEC и как он решает проблему
DNSSEC (Domain Name System Security Extensions) добавляет криптографические подписи к записям DNS.
Каждый ответ сопровождается RRSIG — подписью, которую можно проверить по публичному ключу владельца домена.
| Этап | Действие |
|---|---|
| 1 | Сервер подписывает ответ приватным ключом |
| 2 | Клиент проверяет подпись по публичному ключу |
| 3 | Несовпадение = отказ в доверии |
DNSSEC не шифрует данные, но делает их неподделываемыми.
Как работает подпись и проверка
Каждый домен с DNSSEC имеет пару ключей:
- приватный — создаёт подпись,
- публичный (DNSKEY) — проверяет подпись.
Цепочка доверия идёт от корня DNS до домена:
Root → .com → example.com → www.example.com
Если хотя бы одно звено нарушено, доверие обрывается.
Корень DNS — это главный удостоверяющий центр интернета.
Полный доступ на 3 дня, затем 199Р ежемесячно. Отмена в любой момент
Как проверить, работает ли DNSSEC у вашего домена
Онлайн-сервисы
- DNSViz — визуализация цепочки подписей
- Verisign DNSSEC Debugger
- DNSSEC Analyzer
Командная строка
dig +dnssec example.com
Если в ответе есть запись RRSIG — защита активна.
Публичные DNS с поддержкой DNSSEC
| DNS | IP | Поддержка |
|---|---|---|
| 8.8.8.8 | ✅ | |
| Cloudflare | 1.1.1.1 | ✅ |
| Quad9 | 9.9.9.9 | ✅ |
| OpenDNS | 208.67.222.222 | ⚠️ Частично |
Проверка подписи — это как печать нотариуса на каждом DNS-ответе.
Почему DNSSEC — не “панацея”, но шаг к доверенному интернету
DNSSEC защищает от подмены, но не решает всех проблем.
| Ограничение | Что не делает DNSSEC |
|---|---|
| Нет шифрования | Запросы видны в открытом виде |
| Нет защиты при утечке ключа | Компрометация приватного ключа = подделка |
| Зависимость от поддержки | Если один участник не внедрил DNSSEC — защита теряется |
Тем не менее, DNSSEC создаёт основу доверенного DNS, особенно в сочетании с:
- DoT (DNS over TLS) — шифрует трафик,
- DoH (DNS over HTTPS) — прячет запросы,
- DANE — проверяет TLS-сертификаты по DNS.
Без DNSSEC интернет работает на доверии. С ним — на верификации.
Итог:
DNSSEC не делает интернет полностью безопасным, но превращает его в систему, где доверие можно проверить математически.
Он не скрывает, а защищает.
И именно это делает его фундаментом интернета, которому можно доверять.
Полный доступ на 3 дня, затем 199Р ежемесячно. Отмена в любой момент
