Вся правда о DNSSEC: почему подпись — это не всё

Вы когда-нибудь задумывались, почему даже самая надёжная цифровая подпись порой не спасает ситуацию? Казалось бы, с DNSSEC всё просто: подписал зону, и никакой злоумышленник не подменит ответ. Но на практике всё оказалось не столь радужно. Конечно, идея «подписи и вперёд» хороша, но за ней таятся подводные камни, о которых часто забывают.

Давайте честно признаемся: внедрение DNSSEC — это не только пара кликов и автоматическая настройка. Это ещё и инвестиции в инфраструктуру, обучение команды и постоянную поддержку. Кто-то скажет: «Да ладно, полчаса работы!» — но на самом деле без тщательного планирования рискуешь получить сюрпризы вроде сбойных подписей или неожиданных задержек.

Итак, в этой статье мы разберём не только как работает DNSSEC, но и типичные «косяки» внедрения, посмотрим на реальные атаки и предложим практические методы усиления защиты DNS. Поехали?

Как на самом деле работает DNSSEC: цепочка доверия и подписи

DNSSEC расширяет привычный DNS, добавляя криптографические подписи к записям. В основе лежат три ключевых типа записей: DNSKEY, RRSIG и DS. Представьте, что владелец зоны генерирует две пары ключей:

• ZSK (Zone Signing Key) — ключ для подписания самих записей в зоне (A, MX, CNAME и т.д.).
• KSK (Key Signing Key) — ключ для подписания ключей (конкретно, записей DNSKEY).

Всё это публикуется в зоне, а резолвер при запросе проверяет подпись (RRSIG), словно сверяет печать на документе.

Цепочка доверия начинается от корневой зоны («.»). Её публичный ключ — это «мастер-ключ», который резолверы хранят у себя как якорь доверия. Затем, шаг за шагом — от родительской зоны к дочерней — через хеши ключей (записи DS) создаётся непрерывная цепь, доказывающая, что ключи на каждом уровне подлинные.

А как доказать отсутствие записи? Для этого существуют записи NSEC и NSEC3. Они криптографически подтверждают, что между двумя существующими именами нет других записей. NSEC3 является более предпочтительным, так как он использует хешированные имена доменов, что мешает злоумышленнику легко «прогуляться» по всей зоне и перечислить все существующие домены (так называемый "zone walking").

Чего не закрывает DNSSEC: остающиеся риски

Нет шифрования. DNSSEC гарантирует, что данные не подменили по пути (аутентичность), но сам трафик летит по сети «открытым текстом». Любой посредник может видеть, какие домены вы запрашивали. Для обеспечения конфиденциальности необходимы DoT (DNS over TLS) или DoH (DNS over HTTPS).

Amplification-атаки. Подписанные ответы значительно больше обычных. Маленький запрос может сгенерировать большой ответ, что злоумышленники активно используют для DDoS-атак с усилением (amplification). Они отправляют запросы к вашему серверу от имени жертвы, и на неё обрушивается лавина больших по объёму ответов.

Перечисление зоны (Zone Enumeration). Даже с NSEC3, который защищает от простого перечисления, злоумышленник может использовать офлайн-атаки по словарю, чтобы подбирать хеши и постепенно восстанавливать содержимое зоны. Это уже не «прогулка», а целенаправленный взлом, но он всё ещё возможен.

Управление ключами и операционные «подводные камни»

На практике с автоматизацией подписей не всё гладко. У ключей ZSK и KSK есть срок жизни, и их нужно регулярно менять (ротировать). Скрипты для ротации ключей — сложный механизм. Ошибка в дате, TTL или несвоевременное обновление записи DS у регистратора — и для части пользователей ваш домен перестанет существовать.

Не все провайдеры и регистраторы предоставляют удобные инструменты для управления DNSSEC. Запустили, забыли проверить через месяц — и вот уже просроченные подписи вызывают массовые ошибки валидации. Инструменты вроде DNSSEC Tools помогают, но не отменяют фактор человеческой ошибки.

Ещё одна болевая точка — обновление «якорей доверия». Когда корневые ключи меняются (это случается редко, но всё же), все резолверы в мире должны синхронно принять новый ключ. Малейшая рассинхронизация может вызвать глобальные сбои.

Реальные атаки и сбои, связанные с DNSSEC

Ошибки конфигурации. Самый частый вектор атаки — это не взлом криптографии, а эксплуатация ошибок. Например, если дочерняя зона подписана, но родительская зона не содержит для неё правильной записи DS, возникает «дыра» в цепочке доверия. Резолвер, не найдя валидного пути, откажется от проверки DNSSEC и вернётся к обычному, незащищённому DNS, открывая дорогу для атак.

Пример из жизни: В 2021 году в национальной доменной зоне Швеции (.se) произошёл крупный сбой из-за ошибки при ротации ключей. Миллионы сайтов стали недоступны для пользователей, чьи резолверы проводили валидацию DNSSEC.

Атака Каминского. Важно понимать: DNSSEC — это прямое и надёжное решение против атаки Каминского. Эта атака заключается в отравлении кеша резолвера поддельными данными. Если зона защищена DNSSEC, поддельный ответ не пройдёт проверку подписи и будет отброшен. Таким образом, уязвимость остаётся актуальной только для тех доменов, которые не используют DNSSEC.

Почему внедрение DNSSEC идёт так медленно?

Статистика показывает удручающе низкий уровень внедрения. Хотя технология существует давно, её массовому распространению мешает несколько факторов:

• Операционная сложность. Управление ключами, их своевременная ротация и обновление записей у регистратора пугают многих администраторов.
• Риск «сломать» домен. Неправильная настройка DNSSEC может сделать домен полностью недоступным для пользователей с валидирующими резолверами. Принцип «не трогай, пока работает» всё ещё силён.
• Отсутствие прямого стимула. Владелец сайта не получает немедленной выгоды. DNSSEC защищает его пользователей от атак, но не улучшает производительность сайта и не приносит прямого дохода.
• Проблема «курицы и яйца». Зачем владельцам сайтов подписывать зоны, если мало резолверов валидируют подписи? И зачем провайдерам включать валидацию, если подписано мало зон? (К счастью, этот барьер постепенно снижается).

Дополняем DNSSEC: что ещё взять в арсенал?

• DANE (DNS-Based Authentication of Named Entities). Протокол, который позволяет хранить в DNSSEC сертификаты TLS/SSL (через запись TLSA). Это привязывает сертификат к домену, защищая от подмены сертификата и снижая зависимость от центров сертификации.
• Шифрование запросов (DoT/DoH). Скрывают ваши DNS-запросы от посторонних глаз, обеспечивая конфиденциальность, которой не хватает в DNSSEC. Идеальная пара: DNSSEC для аутентичности, DoH/DoT для приватности.
• Мониторинг. Сервисы вроде DNSViz помогают визуализировать цепочку доверия DNSSEC и быстро находить ошибки. Постоянный мониторинг и алерты — ключ к стабильной работе.

Заключение

DNSSEC — это, безусловно, критически важный шаг вперёд в защите от подмены DNS-ответов. Однако это не панацея. Цифровая подпись не решает проблему конфиденциальности, может использоваться в DDoS-атаках и добавляет операционной сложности.

Чтобы построить действительно надёжную систему, необходимо комбинировать технологии: DNSSEC для аутентификации данных, DoT/DoH для шифрования трафика, DANE для привязки сертификатов и постоянный мониторинг для контроля состояния. Только такой многоуровневый подход превратит хрупкую систему DNS в настоящую крепость.