Bắt đầu từ năm 1993, IETF (Internet Engineering Task Force - một tổ chức tiêu chuẩn mở, phát triển và thúc đẩy các tiêu chuẩn Internet ) bắt đầu nghĩ về những cách làm thế nào để hệ thống DNS mạnh mẽ và an toàn hơn. Và một trong những đề xuất để bảo mật hệ thống DNS là sử dụng DNSSEC.
DNSSEC (Phần mở rộng bảo mật hệ thống tên miền) đã được giới thiệu hơn 15 trước, vào năm 2005 như một cách mới để cải thiện bảo mật DNS.Sau nhiều lần triển khai thử nghiệm, bắt đầu vào năm 2007, DNSSEC đã chính thức được triển khai ở cấp độ tên miền gốc vào năm 2010 cho các địa chỉ sử dụng tên miền cấp cao đầu tiên có phần mở rộng là.org. Cuối năm 2010 và 2011, các tên miền cấp cao .com, .net và .edu đã được cập nhật cho DNSSEC và việc triển khai tiếp tục cho các tên miền cấp cao theo quốc gia. Đến tháng 11 năm 2011, hơn 25 phần trăm tên miền cấp cao đã được đưa vào sử dụng DNSSEC.
Cho dù bạn có một trang web doanh nghiệp nhỏ hoặc một cổng thông tin có lưu lượng truy cập cao, bạn sẽ luôn phải đối mặt với các cuộc tấn công trực tuyến - đặc biệt là các trang web có nguồn gốc từ các máy chủ DNS dùng chung mà tất cả chúng ta sử dụng hàng ngày.
Các lỗ hổng DNS đã xuất hiện trong tất cả các hệ thống DNS trong nhiều thập kỷ qua và một trong những vấn đề phổ biến nhất mà người dùng Internet gặp phải là bị tấn công DNS tiềm ẩn cho phép các hacker bẻ khóa chuyển hướng lưu lượng truy cập đến máy chủ của họ thay vì hiển thị nội dung gốc của trang web.
Hệ thống DNS truyền thống hoạt động bằng cách sử dụng dữ liệu không được mã hóa cho các bản ghi DNS và đó là một trong những vấn đề mà DNSSEC được thiết kế để bảo mật và khắc phục vấn đề này.
DNSSEC tạo ra chữ ký tất cả dữ liệu được gửi trên các bản ghi DNS để có thể xác minh tính xác thực của nó. Điều này đảm bảo bạn đang kết nối với các bản ghi DNS thuộc về tên miền thực mà bạn đang cố truy cập, thay vì truy cập vào tên miền bị tấn công (xảy ra khi bạn là nạn nhân của các cuộc tấn công chiếm quyền điều khiển DNS).
Cơ chế xác thực bảo mật này hoạt động bằng cách sử dụng xác thực PKI (Các khóa công khai - public key infrastructure) và sử dụng hai khóa mật mã, một khóa công khai (public key infrastructure) và một khóa riêng (private key). Các bản ghi DNS được ký bằng khóa riêng và chữ ký này được xuất bản trong RRSIG (viết tắt của Resource Record Digital Signature).
Nhờ RRSIG và khóa riêng được gửi cùng với các bản ghi DNS, mỗi khách hàng có thể xác thực tính xác thực của các bản ghi DNS nhận được bằng cách so sánh dữ liệu nhận được với khóa công khai của tên miền được lưu trữ trong bản ghi DNS DNSKEY.
Nếu bạn đang chạy một máy chủ DNS tiêu chuẩn như Bind, mà không có bất kỳ loại xác thực bản ghi DNS nào, khả năng bạn tiếp xúc với các cuộc tấn công DNS sẽ rất cao. Bất cứ ai cũng có thể lừa bạn và chuyển hướng các bản ghi DNS của bạn bất cứ nơi nào họ muốn.
Cho dù bạn có một trang web doanh nghiệp nhỏ hoặc một cổng thông tin có lưu lượng truy cập cao, bạn sẽ luôn phải đối mặt với các cuộc tấn công trực tuyến - đặc biệt là các trang web có nguồn gốc từ các máy chủ DNS mà tất cả chúng ta sử dụng hàng ngày.
Các cuộc tấn công DNS đe dọa bạn với thời gian chết và mất khách hàng hoặc thứ hạng SEO. Các cuộc tấn công điển hình nhất ảnh hưởng đến các trang web không có DNSSEC bao gồm nhưng không giới hạn ở việc chiếm quyền điều khiển DNS và giả mạo DNS.
Ngày nay mọi tên miền đều cần DNSSEC để tránh các lỗi không đáng có cho khách hàng hoặc người truy cập của mình.
Việc kích hoạt DNSSEC không đơn giản như bạn nghĩ, vì hầu hết các nhà đăng ký tên miền vẫn không hỗ trợ công nghệ xác thực này cho tên miền của họ. Để kích hoạt DNSSEC, các nhà đăng ký phải kích hoạt công nghệ này không chỉ trong cơ sở hạ tầng tên miền mà còn trên máy chủ DNS.
Một số nhà đăng ký tên miền chỉ hỗ trợ DNSSEC khi họ hoạt động như máy chủ DNS. Ngoài ra, việc ngăn người dùng kích hoạt DNSSEC tạo ra thực tế rằng không phải tất cả các TLD đều được hỗ trợ bởi tất cả các nhà đăng ký tên miền.
ICANN có tổng hợp danh sách cập nhật các nhà đăng ký tên miền hỗ trợ DNSSEC, bao gồm một số nhà cung cấp phổ biến cùng với các TLD được hỗ trợ. Nếu bạn đang sử dụng một trong những nhà đăng ký tên miền được liệt kê, bạn chắc chắn sẽ có thể bảo mật các bản ghi DNS của mình với DNSSEC.
Tại Ngôi Sao Số, các tên miền được hỗ trợ cập nhật DNSSEC miễn phí nếu sử dụng dịch vụ DNS cao cấp dựa trên nền tảng Anycast DNS. Bạn có thể kích hoạt bản ghi DNSSEC ngay trong phần quản lý tên miền trên hệ thống ID.ngoisaoso.vn
Hướng dẫn bạn cách bật DNSSEC tại Ngôi Sao Số. Xin lưu ý, với dịch vụ DNSSEC chỉ hỗ trợ cho tên miền quốc tế và với tên miền quốc gia Việt Nam chỉ hỗ trợ .vn: