DNSSEC и проверка подлинности DNS

Что такое DNSSECЧто такое DNSSEC

DNSSEC (Domain Name System Security Extensions) — это технология, которая добавляет цифровую подпись к ответам системы DNS.

Она позволяет проверить, что DNS-ответ получен от подлинного сервера, а доменное имя действительно указывает на корректный ресурс, а не на поддельный сайт, созданный злоумышленниками.

Как работает DNSSECКак работает DNSSEC

DNSSEC обеспечивает проверку подлинности DNS-данных на каждом этапе цепочки запроса.

Основные принципы работы технологии:

• Защита от подмены
  Без DNSSEC злоумышленники могут перехватить DNS-запрос и перенаправить пользователя на поддельный сайт, например на фишинговую копию интернет-банка. DNSSEC предотвращает такие атаки.

• Проверка подлинности данных
  Устройство пользователя проверяет цифровую подпись DNS-ответа. Если подпись отсутствует или нарушена, соединение считается небезопасным и может быть прервано.

• Автоматическая проверка
  Все проверки выполняются автоматически на стороне провайдера, DNS-резолвера и браузера. Дополнительных действий со стороны пользователя не требуется.

Что DNSSEC не делаетЧто DNSSEC не делает

DNSSEC не является универсальным средством защиты и не заменяет другие механизмы безопасности:

• не шифрует передаваемые данные;
• не заменяет HTTPS и SSL-сертификаты;
• не выполняет функции антивирусной защиты.

DNSSEC защищает только корректность DNS-маршрута — своего рода «дорожный указатель» в интернете.

ИтогИтог

DNSSEC — это бесплатный и незаметный для пользователя уровень безопасности, который подтверждает, что доменное имя в адресной строке браузера действительно ведет к реальному серверу, а не к подмененному ресурсу.