DNSSEC (Domain Name System Security Extensions) — это технология, которая добавляет цифровую подпись к ответам системы DNS.
Она позволяет проверить, что DNS-ответ получен от подлинного сервера, а доменное имя действительно указывает на корректный ресурс, а не на поддельный сайт, созданный злоумышленниками.
DNSSEC обеспечивает проверку подлинности DNS-данных на каждом этапе цепочки запроса.
Основные принципы работы технологии:
Защита от подмены
Без DNSSEC злоумышленники могут перехватить DNS-запрос и перенаправить пользователя на поддельный сайт, например на фишинговую копию интернет-банка. DNSSEC предотвращает такие атаки.
Проверка подлинности данных
Устройство пользователя проверяет цифровую подпись DNS-ответа. Если подпись отсутствует или нарушена, соединение считается небезопасным и может быть прервано.
Автоматическая проверка
Все проверки выполняются автоматически на стороне провайдера, DNS-резолвера и браузера. Дополнительных действий со стороны пользователя не требуется.
DNSSEC не является универсальным средством защиты и не заменяет другие механизмы безопасности:
DNSSEC защищает только корректность DNS-маршрута — своего рода «дорожный указатель» в интернете.
DNSSEC — это бесплатный и незаметный для пользователя уровень безопасности, который подтверждает, что доменное имя в адресной строке браузера действительно ведет к реальному серверу, а не к подмененному ресурсу.
