DNSSEC — DNS Security Extensions

Τι είναι το DNSSEC

Το DNSSEC (DNS Security Extensions) προσθέτει κρυπτογραφικές υπογραφές στις DNS απαντήσεις, ώστε ο resolver να μπορεί να επιβεβαιώσει ότι αυτό που έλαβε δεν έχει παραποιηθεί στη διαδρομή.

Χωρίς DNSSEC, επιθέσεις τύπου DNS spoofing ή cache poisoning μπορούν να «πείσουν» τον resolver ότι το example.com δείχνει σε εχθρική IP. Με DNSSEC, αν η απάντηση δεν επαληθεύεται, ο resolver την απορρίπτει.

Πώς λειτουργεί

Το DNSSEC χτίζεται ως chain of trust από το root του DNS μέχρι το domain σου:

1. Ο root server έχει υπογράψει την έκδοση του TLD (π.χ. .gr).
2. Το TLD registry έχει υπογράψει το delegation στον δικό σου nameserver (μέσω DS record).
3. Ο nameserver σου έχει DNSKEY records και υπογράφει κάθε zone record με RRSIG.

Ο resolver μπορεί να ακολουθήσει αυτή την αλυσίδα και να επαληθεύσει κάθε σκαλοπάτι.

Τα βασικά records

• DNSKEY — τα δημόσια κλειδιά της ζώνης σου
• RRSIG — η υπογραφή για κάθε record set
• DS (Delegation Signer) — hash του DNSKEY που υπάρχει στο parent (TLD registry)
• NSEC / NSEC3 — αποδεικτικό μη-ύπαρξης (όταν ένα record δεν υπάρχει, μπορείς να το αποδείξεις χωρίς να ανοίξεις όλη τη ζώνη)

Πώς το ενεργοποιείς

1. Στον DNS provider σου, ενεργοποίησε το DNSSEC για τη ζώνη — αυτό δημιουργεί τα DNSKEY/RRSIG/NSEC.
2. Πάρε το DS record που σου παρέχει.
3. Πήγαινε στον registrar και βάλε το DS record στο delegation.
4. Περίμενε λίγες ώρες για propagation. Έλεγξε με DNSSEC validator.

Συχνά λάθη

• DS record στο registrar χωρίς DNSKEY στη ζώνη: το domain σου γίνεται unreachable.
• Αλλαγή nameservers χωρίς να αφαιρέσεις πρώτα το DS: ίδιο πρόβλημα.
• Algorithm rollover χωρίς προσοχή: μπορεί να σπάσει το validation παροδικά.