Domain Name System Security Extensions (DNSSEC) เป็นการอนุญาตให้ผู้ลงทะเบียนระบบชื่อโดเมน (Registrants) สามารถนำข้อมูลที่เป็นลายเซ็นชื่อแบบดิจิทัล (Digitally Sign) ใส่ไว้ใน Domain Name System (DNS) ได้ ช่วยรักษาความปลอดภัยข้อมูลระบบชื่อโดเมน (DNS) ที่ส่งผ่านส่วนขยายการรักษาความปลอดภัยระบบชื่อโดเมนบนอินเทอร์เน็ต (DNSSEC) สิ่งนี้จะช่วยปกป้องผู้ใช้บริการระบบชื่อโดเมน (DNS) โดยทำให้ผู้ใช้มั่นใจได้ว่าข้อมูลในระบบชื่อโดเมนที่ได้รับความเสียหาย ไม่ว่าจะโดยบังเอิญหรือโดยผู้ประสงค์ร้ายจะไม่สามารถเข้าถึงผู้ใช้บริการระบบชื่อโดเมนได้
ความเป็นมาการนำ DNSSEC มาปรับใช้งาน
1980
DNS ได้รับการออกแบบในปี 1980 เมื่ออินเทอร์เน็ตมีขนาดเล็กกว่ามากและการรักษาความปลอดภัยไม่ใช่สิ่งสำคัญในการออกแบบระบบในขณะนั้น ด้วยเหตุนี้ เมื่อตัวสอบถามแบบเรียกซ้ำ (Recursive Resolvers) มีการสอบถามข้อมูลชื่อโดเมนไปยังชื่อเซิร์ฟเวอร์ที่เชื่อถือได้ (Authoritative Name Servers) ตัวสอบถาม (Resolvers) จึงไม่มีทางตรวจสอบความถูกต้องของการตอบกลับได้ ตัวสอบถาม (Resolvers) สามารถตรวจสอบได้เฉพาะการตอบกลับที่ดูเหมือนว่ามาจากที่อยู่ IP เดียวกันกับที่ตัวสอบถาม (Resolvers) ส่งการสืบค้นต้นฉบับไปก่อนหน้านี้
แต่การพึ่งพาที่อยู่ IP ต้นทางของการตอบสนองไม่ใช่กลไกการตรวจสอบสิทธิ์ที่เข้มงวด เนื่องจากที่อยู่ IP ต้นทางของแพ็กเก็ตการตอบสนอง DNS สามารถปลอมแปลงหรือหลอกได้ง่าย เนื่องจาก DNS ได้รับการออกแบบมาแต่เดิม ตัวสอบถาม (Resolvers) ไม่สามารถตรวจจับการตอบสนองที่ปลอมแปลงได้โดยง่ายสำหรับคำถามข้อใดข้อหนึ่ง ผู้โจมตีระบบชื่อโดเมน (DNS Attacker) สามารถที่จะปลอมแปลงเป็นเซิร์ฟเวอร์ที่เชื่อถือได้ (Authoritative Server) ซึ่งตัวสอบถาม (Resolvers) เดิมมีการปลอมคำตอบ (Spoofing Response) ที่ดูเหมือนว่ามาจากเซิร์ฟเวอร์ที่เชื่อถือได้นั้น กล่าวอีกนัยหนึ่งคือผู้โจมตีสามารถเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่อาจเป็นอันตรายโดยที่ผู้ใช้ไม่รู้ตัว
1990
วิศวกรใน Internet Engineering Task Force (IETF) ซึ่งเป็นองค์กรที่รับผิดชอบมาตรฐานโปรโตคอล DNS ตระหนักมานานแล้วว่าการขาดการรับรองความถูกต้องที่เข้มงวดยิ่งขึ้นใน DNS เป็นปัญหาสำคัญ การทำงานเพื่อหาแนวทางแก้ไขปัญหาดังกล่าวเริ่มขึ้นในปี 1990 และผลลัพธ์ก็คือ DNSSEC Security Extensions (DNSSEC)
DNSSEC จะเข้ามาเสริมความแข็งแกร่งให้การรับรองความถูกต้องในข้อมูล DNS โดยใช้ลายเซ็นดิจิทัล (Digital Signatures) โดยอิงจากการเข้ารหัสคีย์สาธารณะ (Public Key) ด้วย DNSSEC ซึ่งมันไม่ใช่การสืบค้น DNS และการตอบสนองด้วยตนเองที่มีการเซ็นชื่อแบบเข้ารหัส แต่ข้อมูล DNS เองจะต้องถูกลงนามโดยเจ้าของข้อมูล ทุก DNS Zone จะมีคู่คีย์สาธารณะ (Public Key) และส่วนตัว (Private Key) เจ้าของโซน (Zone Owner) จะใช้คีย์ส่วนตัวของโซน เพื่อลงนามข้อมูล DNS ในโซนและสร้างลายเซ็นดิจิทัลบนข้อมูลนั้น ตามความหมายของชื่อ "คีย์ส่วนตัว" เนื้อหาคีย์นี้จะถูกเก็บเป็นความลับโดยเจ้าของโซน อย่างไรก็ตามคีย์สาธารณะของโซนนั้นได้รับการเผยแพร่ในโซนเอง เพื่อให้ทุกคนสามารถเรียกค้นข้อมูลได้
ตัวสอบถามแบบเรียกซ้ำ (Recursive Resolvers) ที่ค้นหาข้อมูลในโซนจะดึงคีย์สาธารณะของโซน ซึ่งใช้เพื่อตรวจสอบความถูกต้องของข้อมูล DNS ถ้าตัวสอบถาม (Resolvers) ยืนยันว่าลายเซ็นดิจิทัลบนข้อมูล DNS ที่ดึงมานั้นถูกต้อง ข้อมูล DNS ที่ถูกต้องนั้นจะถูกส่งคืนไปยังผู้ใช้ หากลายเซ็นไม่สามารถตรวจสอบความถูกต้องได้ ตัวสอบถาม (Resolvers) จะถือว่าเป็นการโจมตีและปฏิเสธข้อมูลนั้น หลังจากนั้นจึงส่งคืนข้อผิดพลาดแจ้งให้กับผู้ใช้
ประโยชน์ของการติดตั้งใช้งาน DNSSEC
- ช่วยปกป้องการสื่อสารข้อมูล DNS ระหว่างอินเทอร์เน็ต ผู้ใช้ปลายทาง บริษัท องค์กร และรัฐบาล
- ลดจุดอ่อนในการถูกผู้ไม่หวังดีโจมตีการทำงานของระบบ DNS ที่จะนำไปสู่การปลอมแปลงข้อมูล DNS ให้มีการเปลี่ยนแปลงข้อมูลเส้นทางผิดพลาดไปจากความเป็นจริง
- ส่งเสริมนวัตกรรม DNSSEC ตรวจสอบและปกป้องข้อมูล DNS ซึ่งช่วยให้ข้อมูลสามารถเชื่อถือได้ในแอปพลิเคชันที่อยู่นอกเหนือ DNS
การดำเนินการเปิดใช้งาน DNSSEC
การเปิดการใช้งาน DNSSEC จะต้องมีการตั้งค่าเปิดใช้งานทั้ง 2 ด้าน ดังนี้
- ผู้ลงทะเบียน (Registrants) คือ ผู้ที่รับผิดชอบในการเผยแพร่ข้อมูลระบบชื่อโดเมนที่ได้มีการจดทะเบียนไว้ (DNS) ต้องมีการตรวจสอบให้แน่ใจว่าข้อมูลระบบโดเมน (DNS) ดังกล่าว ได้รับการลงนามส่วนขยายความปลอดภัยของระบบโดเมนหรือ DNSSEC-signed แล้ว
- ผู้ให้บริการเครือข่าย (Network operators) คือ ผู้บริการเครือข่ายอินเทอร์เน็ตหรือผู้บริการเว็บเซิร์ฟเวอร์ที่ให้บริการอยู่ ซึ่งจำเป็นต้องเปิดใช้งานการตรวจสอบความถูกต้องของ DNSSEC บน DNS resolver ที่จัดการการค้นหาข้อมูล DNS สำหรับผู้ใช้
สำหรับลูกค้าที่ใช้บริการเว็บโฮสติ้ง (Web Hosting) และชื่อโดเมน (Domain Name) กับ ด้าต้าตั้นดอทเน็ต ท่านที่มีความต้องการตั้งค่าเปิดใช้งานคุณสมบัติ DNSSEC ให้กับระบบชื่อโดเมนของท่าน สามารถแจ้งเรื่องให้เราช่วยดำเนินการตั้งค่าได้ผ่านช่องทางอีเมล์ support@datatan.net หรือแจ้งผ่านระบบ Support Ticket ของเราได้เลย