DNSSEC là gì?

DNSSEC là công nghệ an toàn mở rộng cho hệ thống DNS. Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.

DNSSEC là gì?

Bắt đầu từ năm 1993, IETF (Internet Engineering Task Force - một tổ chức tiêu chuẩn mở, phát triển và thúc đẩy các tiêu chuẩn Internet ) bắt đầu nghĩ về những cách làm thế nào để hệ thống DNS mạnh mẽ và an toàn hơn. Và một trong những đề xuất để bảo mật hệ thống DNS là sử dụng DNSSEC.

DNSSEC (Phần mở rộng bảo mật hệ thống tên miền) đã được giới thiệu hơn 15 trước, vào năm 2005 như một cách mới để cải thiện bảo mật DNS.Sau nhiều lần triển khai thử nghiệm, bắt đầu vào năm 2007, DNSSEC đã chính thức được triển khai ở cấp độ tên miền gốc vào năm 2010 cho các địa chỉ sử dụng tên miền cấp cao đầu tiên có phần mở rộng là.org. Cuối năm 2010 và 2011, các tên miền cấp cao .com, .net và .edu đã được cập nhật cho DNSSEC và việc triển khai tiếp tục cho các tên miền cấp cao theo quốc gia. Đến tháng 11 năm 2011, hơn 25 phần trăm tên miền cấp cao đã được đưa vào sử dụng DNSSEC.

Cho dù bạn có một trang web doanh nghiệp nhỏ hoặc một cổng thông tin có lưu lượng truy cập cao, bạn sẽ luôn phải đối mặt với các cuộc tấn công trực tuyến - đặc biệt là các trang web có nguồn gốc từ các máy chủ DNS dùng chung mà tất cả chúng ta sử dụng hàng ngày.

Các lỗ hổng DNS đã xuất hiện trong tất cả các hệ thống DNS trong nhiều thập kỷ qua và một trong những vấn đề phổ biến nhất mà người dùng Internet gặp phải là bị tấn công DNS tiềm ẩn cho phép các hacker bẻ khóa chuyển hướng lưu lượng truy cập đến máy chủ của họ thay vì hiển thị nội dung gốc của trang web.

DNSSEC hoạt động như thế nào?

Hệ thống DNS truyền thống hoạt động bằng cách sử dụng dữ liệu không được mã hóa cho các bản ghi DNS và đó là một trong những vấn đề mà DNSSEC được thiết kế để bảo mật và khắc phục vấn đề này.

DNSSEC tạo ra chữ ký tất cả dữ liệu được gửi trên các bản ghi DNS để có thể xác minh tính xác thực của nó. Điều này đảm bảo bạn đang kết nối với các bản ghi DNS thuộc về tên miền thực mà bạn đang cố truy cập, thay vì truy cập vào tên miền bị tấn công (xảy ra khi bạn là nạn nhân của các cuộc tấn công chiếm quyền điều khiển DNS).

Cơ chế xác thực bảo mật này hoạt động bằng cách sử dụng xác thực PKI (Các khóa công khai - public key infrastructure) và sử dụng hai khóa mật mã, một khóa công khai (public key infrastructure) và một khóa riêng (private key). Các bản ghi DNS được ký bằng khóa riêng và chữ ký này được xuất bản trong RRSIG (viết tắt của Resource Record Digital Signature).

Nhờ RRSIG và khóa riêng được gửi cùng với các bản ghi DNS, mỗi khách hàng có thể xác thực tính xác thực của các bản ghi DNS nhận được bằng cách so sánh dữ liệu nhận được với khóa công khai của tên miền được lưu trữ trong bản ghi DNS DNSKEY.

Có thực sự cần DNSSEC không?

Nếu bạn đang chạy một máy chủ DNS tiêu chuẩn như Bind, mà không có bất kỳ loại xác thực bản ghi DNS nào, khả năng bạn tiếp xúc với các cuộc tấn công DNS sẽ rất cao. Bất cứ ai cũng có thể lừa bạn và chuyển hướng các bản ghi DNS của bạn bất cứ nơi nào họ muốn.

Cho dù bạn có một trang web doanh nghiệp nhỏ hoặc một cổng thông tin có lưu lượng truy cập cao, bạn sẽ luôn phải đối mặt với các cuộc tấn công trực tuyến - đặc biệt là các trang web có nguồn gốc từ các máy chủ DNS mà tất cả chúng ta sử dụng hàng ngày.

Các cuộc tấn công DNS đe dọa bạn với thời gian chết và mất khách hàng hoặc thứ hạng SEO. Các cuộc tấn công điển hình nhất ảnh hưởng đến các trang web không có DNSSEC bao gồm nhưng không giới hạn ở việc chiếm quyền điều khiển DNS và giả mạo DNS.

Ngày nay mọi tên miền đều cần DNSSEC để tránh các lỗi không đáng có cho khách hàng hoặc người truy cập của mình.

Làm cách nào tôi có thể kích hoạt DNSSEC?

Việc kích hoạt DNSSEC không đơn giản như bạn nghĩ, vì hầu hết các nhà đăng ký tên miền vẫn không hỗ trợ công nghệ xác thực này cho tên miền của họ. Để kích hoạt DNSSEC, các nhà đăng ký phải kích hoạt công nghệ này không chỉ trong cơ sở hạ tầng tên miền mà còn trên máy chủ DNS.

Một số nhà đăng ký tên miền chỉ hỗ trợ DNSSEC khi họ hoạt động như máy chủ DNS. Ngoài ra, việc ngăn người dùng kích hoạt DNSSEC tạo ra thực tế rằng không phải tất cả các TLD đều được hỗ trợ bởi tất cả các nhà đăng ký tên miền.

ICANN có tổng hợp danh sách cập nhật các nhà đăng ký tên miền hỗ trợ DNSSEC, bao gồm một số nhà cung cấp phổ biến cùng với các TLD được hỗ trợ. Nếu bạn đang sử dụng một trong những nhà đăng ký tên miền được liệt kê, bạn chắc chắn sẽ có thể bảo mật các bản ghi DNS của mình với DNSSEC.

Tại Ngôi Sao Số, các tên miền được hỗ trợ cập nhật DNSSEC miễn phí nếu sử dụng dịch vụ DNS cao cấp dựa trên nền tảng Anycast DNS. Bạn có thể kích hoạt bản ghi DNSSEC ngay trong phần quản lý tên miền trên hệ thống ID.ngoisaoso.vn

Hướng dẫn bạn cách bật DNSSEC tại Ngôi Sao Số. Xin lưu ý, với dịch vụ DNSSEC chỉ hỗ trợ cho tên miền quốc tế và với tên miền quốc gia Việt Nam chỉ hỗ trợ .vn:

Khi bật DNSSEC cho tên miền sẽ xảy ra 3 trường hợp sau:

1. Tên miền bạn đăng ký tại Ngôi Sao Số và sử dụng nameserver tại Ngôi Sao Số

Bước 1: Bạn truy cập khu vực quản trị DNS của tên miền tại id.ngoisaoso.vn
Bước 2:  Sau đó bật kích hoạt DNSSEC tại khu vực quản lý DNS, sau đó gởi phiếu yêu cầu hỗ trợ cho chúng tôi để thực hiện việc đăng ký này.

2. NameServer của nhà cung cấp khác, tên miền mua tại Ngôi Sao Số

Bạn cần yêu cầu hỗ trợ từ nhà cung cấp tên miền của bạn để được cung cấp bản ghi DNSSEC và gởi phiếu yêu cầu hỗ trợ cho chúng tôi.

3. NameServer Ngôi Sao Số, tên miền mua tại nơi khác

Bước 1: Vào hệ thống quản lý DNS tại Ngôi Sao Số, kích hoạt DNSSEC.
Bước 2: Cung cấp bản ghi DNSSEC cho nhà đăng ký tên miền của bạn để được hỗ trợ kích hoạt.

Một số lưu ý

  • Với tên miền Việt Nam (.vn) cần phải thực hiện việc kết nối với VNNIC để kích hoạt DNSSEC và VNNIC chỉ hỗ trợ trong giờ hành chính
  • Với tên miền Quốc Tế việc kích hoạt có thể không được hỗ trợ tại một số nhà đăng ký, dịch vụ DNNSEC chỉ đang trong gia đoạn thử nghiệm. Nếu bạn muốn thực hiện DNSSEC cho tên miền của mình, vui lòng gởi yêu cầu khi đăng ký tên miền mới. Với các tên miền cũ vui lòng liên hệ Ngôi Sao Số.