Безопасность DNS: DNSSEC и DoH

Урок про то, почему DNS — лакомая мишень и как защитить целостность и приватность имён.

DNS переводит имена в адреса; если ответу нельзя доверять, вас можно тихо направить не туда — поэтому DNS нужно защищать.

Почему DNS уязвим

Классический DNS работает по UDP без подписи и шифрования. Это порождает две проблемы: ответ можно подделать (нарушение целостности — DNS-спуфинг) и ответ можно прочитать (нарушение конфиденциальности — видно, какие сайты вы запрашиваете). Подмена особенно опасна: правильное имя приведёт на чужой адрес. Мы разбираем угрозу концептуально.

Норма:   запрос example.com -> ответ: 93.184.216.34 (верный)
Спуфинг: запрос example.com -> ложный ответ: адрес нарушителя
         (если ответ не подписан, как отличить?)

DNSSEC: защита целостности

DNSSEC добавляет к записям криптографические подписи и цепочку доверия от корня зоны. Резолвер проверяет подпись: если она не сходится, ответ отбрасывается. Так подделанный ответ не пройдёт проверку. Важно: DNSSEC обеспечивает целостность и подлинность, но не шифрует — кто-то на пути всё ещё видит сами запросы.

DoH и DoT: защита конфиденциальности

Как работает под капотом

DNSSEC строит цепочку: корневая зона подписывает зоны верхнего уровня, те — домены, и так до конкретной записи. Резолвер идёт по цепочке подписей до доверенного корня. DoH/DoT же оборачивают сам обмен в TLS, скрывая содержимое запроса от наблюдателя на пути. Эти технологии дополняют друг друга: одна про целостность, другая про приватность.

Частые ошибки

• Считать, что DNSSEC шифрует запросы — он только подписывает.
• Считать, что DoH сам по себе защищает от подмены — он скрывает запрос, но доверие к резолверу остаётся.
• Использовать неизвестные публичные резолверы без оценки доверия — вы видите им свои запросы.

Итоги

• Открытый DNS уязвим к подмене и наблюдению.
• DNSSEC защищает целостность подписями, DoH/DoT — конфиденциальность шифрованием.
• Эти меры дополняют друг друга, а не заменяют.