DNSSEC: Dlaczego 84% domen w UE nie ma ochrony przed spoofingiem DNS

Część 4 serii „Bezpieczeństwo stron w UE: 10 kroków do lepszej oceny"

Niewidzialny fundament

Zanim przeglądarka załaduje witrynę, musi rozwiązać nazwę domeny na adres IP. Do tego służy Domain Name System (DNS) — i ma on fundamentalny problem: został zaprojektowany w 1983 roku bez mechanizmu uwierzytelniania. Każdy, kto potrafi manipulować odpowiedziami DNS, może przekierować użytkowników na dowolne serwery.

Atakujący w tej samej sieci może sfałszować odpowiedzi DNS i przekierować Twoich klientów na perfekcyjną kopię Twojej witryny — z ważnym certyfikatem Let's Encrypt, jeśli żaden rekord CAA nie ogranicza wystawiania certyfikatów.

Wskaźnik wdrożenia DNSSEC w UE: 15,8%. Tylko jedna na sześć domen jest chroniona.

Liczby

• DNSSEC: 15,8% zwalidowanych
• CAA (Certification Authority Authorization): 3,0%
• DANE/TLSA: poniżej 1%

97% europejskich domen nie posiada rekordu CAA. To oznacza: dowolny urząd certyfikacji na świecie może wystawić ważny certyfikat dla Twojej domeny — w tym atakujący z dostępem do skompromitowanego CA.

Czym jest DNSSEC?

DNSSEC (Domain Name System Security Extensions, RFC 4033-4035) kryptograficznie podpisuje odpowiedzi DNS. Serwer rozwiązujący nazwy może zweryfikować, że odpowiedź rzeczywiście pochodzi z autoryzowanego serwera nazw i nie została zmieniona.

Bez DNSSEC: twoja-domena.pl -> 93.184.216.34 (niezweryfikowalne)

Z DNSSEC: twoja-domena.pl -> 93.184.216.34 + RRSIG (podpisane kryptograficznie)

Jak włączyć DNSSEC

DNSSEC włącza się u dostawcy DNS, nie na Twoim serwerze.

Krok 1: Sprawdź dostawcę DNS

Większość dużych dostawców wspiera DNSSEC:

Krok 2: Włącz DNSSEC

U większości dostawców to pojedynczy przełącznik w panelu zarządzania DNS. Dostawca generuje klucze DNSSEC i automatycznie podpisuje strefę.

Krok 3: Dodaj rekord DS u rejestratora

Jeśli Twój dostawca DNS i rejestrator to różne firmy (np. domena w nazwa.pl, DNS w Cloudflare), musisz ręcznie dodać rekord DS u rejestratora. Rekord DS to kotwica zaufania — łączy Twoją domenę z podpisem DNSSEC.

Cloudflare wyświetla rekord DS, który należy wprowadzić u rejestratora.

Krok 4: Zweryfikuj walidację

dig +dnssec twoja-domena.pl

Jeśli odpowiedź zawiera flagę ad (Authenticated Data), DNSSEC jest aktywne i zwalidowane.

CAA: Kto może wystawiać certyfikaty?

Rekord CAA (RFC 8659) definiuje, które urzędy certyfikacji mogą wystawiać certyfikaty TLS dla Twojej domeny:

twoja-domena.pl. IN CAA 0 issue "letsencrypt.org"
twoja-domena.pl. IN CAA 0 issuewild ";"

• issue "letsencrypt.org" — tylko Let's Encrypt może wystawiać certyfikaty
• issuewild ";" — żadne certyfikaty wildcard od nikogo

3% domen w UE posiada rekord CAA. Pozostałe 97% ślepo ufa każdemu CA na świecie.

Typowe błędy

1. Włączenie DNSSEC bez monitorowania. Jeśli podpisy DNSSEC wygasną (awaria rotacji kluczy), domena staje się nieosiągalna dla wszystkich resolverów walidujących DNSSEC. Upewnij się, że dostawca automatycznie rotuje klucze.

2. Zbyt restrykcyjne ustawienie CAA. Jeśli zmienisz dostawcę CA i zapomnisz zaktualizować rekord CAA, odnowienie certyfikatu nie powiedzie się.

3. DANE bez DNSSEC. Rekordy DANE/TLSA działają tylko z DNSSEC — bez podpisu atakujący może sfałszować również rekord TLSA.

Kontekst regulacyjny

• NIS2 art. 21 ust. 2 — infrastruktura DNS jest częścią środków cyberbezpieczeństwa dla sieci i systemów informatycznych
• NIS2 art. 28 — szczególne obowiązki dla dostawców usług DNS i rejestrów TLD
• RODO art. 32 — spoofing DNS może prowadzić do phishingu, a w konsekwencji do naruszeń danych

Sprawdź bezpieczeństwo DNS

SiteGuardian sprawdza walidację DNSSEC, rekordy CAA, DANE/TLSA i higienę DNS (otwarte transfery stref, osierocone rekordy):

https://siteguardian.io/scan

W następnym tygodniu w części 5: security.txt — standard RFC 9116, który ENISA zaleca, a 97,2% witryn w UE nie posiada.