.UA ccTLD
.UA - наш дiм. Зробимо його кращим!
Ваша IP-адреса: 18.97.14.84
 
 Інформація щодо nic-handle
 -UANIC
 Інформація щодо epp-contact
 Транслітерація
 Публічні домени

Міжнародне співробітництво




DNSSEC

Що таке DNSSEC?

DNSSEC - це криптографічне розширення безпеки для протоколу DNS, яке захищає передачу DNS-інформації. Система DNS перетворює доменні імена в IP-адреси (і навпаки). В DNSSEC до інформації (записів) DNS до відповіді додають цифровий підпис, щоб клієнт міг перевірити їх достовірність. Фактично застосування протоколу DNSSEC дозволяє підписувати адресну інформацію цифровим підписом. Використання DNSSEC дозволяє уникнути ключових вразливостей в системі DNS і знизити ризик так званої "підміни адреси" (див. DNS отруєння кешу)

Які переваги DNSSEC?

DNSSEC - це ефективний метод підвищення безпеки під час використання DNS. За допомогою DNSSEC користувачі Інтернет мають можливість перевірити, чи є інформація, яку вони отримали через DNS, правдива чи підроблена, і таким чином впевнитися, що веб-сайт дійсно належить банку, офісу, електронному реєстру, державному органу тощо.

Як використовувати DNSSEC в домені .ua?

Реєстрант може захистити послуги, пов'язані з доменним іменем. Для цього потрібно підписати свій домен за технологією DNSSEC на DNS серверах та розмістити в домені вищого рівня криптографічну абревіатуру (у вигляді запису DS) з відкритої частини ключа. Наразі така можливість існує в доменах: ua, com.ua, kiev.ua та деяких інших (див. https://hostmaster.ua/2ld/)

Реєстрант може підписати свій домен самостійно або звернутися до реєстратора, якщо його реєстратор надає таку можливість. Далі реєстратор передає в реестр відповідного публічного домену записи DS для вашого домену. Після успішного виконання операції для вашого домену буде встановлений "ланцюжок довіри" і в даних Whois для такого домену буде вказано:

ds-rdata: ....

Для видалення або зміни запису DS також необхідно звернутися до свого реєстратора.

Які особливості переносу домену з DNSSEC від одного реєстратора до іншого (transfer)?

Якщо ви хочете перенести підписаний домен, спочатку переконайтеся, що реєстратор, до якого ви бажаєте перевести домен, підтримує DNSSEC .

Далі домовтесь з обома реєстраторами і дотримуйтесь такої послідовності кроків:

  • старий реєстратор тимчасово видаляє запис DS в домені
  • на запит нового реєстратора виконується процедура переносу домену до нового реєстратора (transfer)
  • після завершення трансферу новий реєстратор надсилає команду додавання запису DS для домену.

Як мені пересвідчитися, що DNSSEC для мого домену працює?

Перевірити правильність роботи DNSSEC можна за допомогою онлайн-інструментів:

Або за допомогою відповідної команди:

dig назва-домену +dnssec

Як працює "ланцюжок довіри"?

"Ланцюжок довіри" - це послідовність посилань безпеки, встановлених за допомогою DNSSEC між різними рівнями ієрархії DNS. Коли DNS-сервер відправляє адресну інформацію клієнту, він прикріплює цифровий підпис (в записі RRSIG). Достовірність запису може бути перевірена з використанням відкритого ключа відповідного домену, який міститься в записі DNSKEY. Це робиться шляхом звернення до наступного (вищого) рівня в ієрархії DNS, де регистрант домену зберігає відкритий ключ, створюючи тим самим зв'язок довіри між двома рівнями.