DNSSEC (DNS Security Extensions) — набор расширений протокола DNS, который добавляет криптографические подписи к DNS-записям. Это защищает от атак типа DNS Cache Poisoning и DNS Spoofing.
Зачем нужен DNSSEC
Без DNSSEC злоумышленник может подменить DNS-ответ и перенаправить пользователей на поддельный сайт (даже если у вас HTTPS). Атака называется DNS Hijacking или Cache Poisoning.
С DNSSEC каждая DNS-запись подписана цифровой подписью. Если ответ изменён — подпись не совпадёт и запрос будет отклонён.
Как работает DNSSEC
- Зона подписывается парой ключей: ZSK (Zone Signing Key) и KSK (Key Signing Key)
- DS-запись (Delegation Signer) публикуется в родительской зоне (.com, .ua)
- Резолвер с поддержкой DNSSEC проверяет подпись при каждом запросе
- Если подпись невалидна — SERVFAIL, запрос отклонён
DNSSEC: включать или нет
| Включать | Не включать |
|---|---|
| Финансовые сайты | Сложная настройка DNS |
| Государственные ресурсы | Частая смена DNS-провайдера |
| Медицинские порталы | Нет поддержки у провайдера |
| Корпоративные сети | Небольшой личный блог |
Проверка DNSSEC
# Проверить подпись домена
dig example.com DNSKEY +dnssec
# Онлайн-валидатор
# dnsviz.net — визуальная карта DNSSEC-цепочкиВключение DNSSEC в ZevsHost
- Войдите в Личный кабинет → Домены → управление доменом
- Раздел DNSSEC → включить
- Система автоматически создаст DS-записи и ключи
- DS-запись будет опубликована в реестре зоны
⚠️ DNSSEC и смена DNS: При смене DNS-провайдера сначала отключите DNSSEC у регистратора, затем смените NS-серверы, затем снова включите DNSSEC у нового провайдера. Неправильный порядок приводит к полной недоступности домена.