По данным ICANN, в настоящий момент из 642 существующих доменов верхнего уровня 447 поддерживают технологию DNSSEC. Среди европейских ccTLD 32 зоны (это 68%) подписаны на безопасный протокол (по данным CENTR на май этого года).

DNSSEC – это набор расширений для DNS, которые включают аутентификацию данных DNS, целостность данных. Если говорить проще, DNSSEC обеспечивает защиту от перенаправления пользователя на другой, ненужный ему сайт (чтобы злоумышленник не смог получить доступ к учетной записи человека и паролю, в то время как сам человек был бы уверен, что находится на «правильном» сайте).

DNSSEC позволяет соотносить доменное имя и IP-адрес и удостоверять адресную информацию о нем методом цифровой подписи, образно говоря – это такая «поручительская» структура, которая гарантирует пользователям, что они посетят тот ресурс, который собирались. Особенно актуально для банков и прочих финансовых организаций, которые уже давно на прицеле у интернет-мошенников.

В 2013, по данным Group IB, количество пользователей интернет-банкинга в России составляло 9,4 млн человек. Почти 400 тысяч из них – потенциальные жертвы мошенников, т.к. скачивают, например, контрафактное ПО. За первое полугодие 2013-го, по данным Банка России, произошло более 10,5 тыс. попыток хищений денежных средств, и количество таких инцидентов только растет. DNSSEC мог бы обезопасить пользователей от части угроз, правда, в Рунете, как и во многих других странах, его осваивают слишком медленно.

Рекордсмены по освоению DNSSEC

Лидер по поддержке протокола среди доменов верхнего уровня – «голландец».NL (по данным SIDN annual report 2013). В Нидерландах зарегистрировано 5,4 млн доменных имен, DNSSEC поддерживают 1,7 млн. Долгое время передача доменных имен, подписанных DNSSEC, от одного регистратора к другому была головной болью. Во время передачи доменное имя и связанный с ним веб-сайт могли оказаться недоступными или без защиты в течение нескольких часов. Чтобы этого избежать, администратор домена .NL разработал сервис на базе своей системы регистрации доменов, где и проходит передача подписанных имен. Администратор .NL очень активен и в плане внедрения DNSSEC, и в плане развития самой зоны (домен входит в пятерку крупнейших национальных зон). Но эксперты видят в успешном внедрении безопасного протокола в этой стране влияние государства. Как, впрочем, и в Чехии.

Чешский .CZ, согласно статистике SIDN на 2013 год, находится на втором месте в «рейтинге» зон, поддерживающих DNSSEC. На конец прошлого года там 17,9% доменов поддерживали DNSSEC. В .CZ сейчас зарегистрировано 1,2 млн доменов, из них поддерживают DNSSEC – почти 450 тыс. CZ стал пионером освоения и внедрения DNSSEC и до недавнего времени лидировал по количеству подписанных в рамках технологии доменных имен.

В декабре 2013 года правительство страны приняло резолюцию, которая обязывает органы государственной власти обеспечить поддержку технологии DNSSEC для своих сайтов до конца июня 2015 года, и это было, по мнению представителей администратора .CZ, хорошим прецедентом в отрасли, драйвером развития безопасного протокола.

На третьем месте в плеяде лидеров прошлого года – «бразилец» .BR (12,6%). Затем идут «швед» .SE (8,7%), .COM (8,4%), .EU (6,2%), .NET (1,8%) и .ORG (0,9%).

Правда, уже после проведения исследования SIDN домен Бразилии .BR обогнал .CZ, там сейчас зарегистрировано 3,4 млн имен, DNSSEC поддерживает 603 тыс. имен. В .SE – 322 тыс. имен поддерживает протокол из 1,3 млн.

В первом квартале 2014 года в .EU было 261 тыс. доменов, подписанных DNSSEC, из 3,8 млн (6,9%). Значительное количество подписанных доменов было в немецком .DE, но свежей статистики из Германии пока нет.

В 2013 году, по сравнению с доменом .COM, в .NET было почти в 2 раза больше доменов, которые работали с протоколом безопасности DNSSEC.

Страны-лидеры по освоению DNSSEC активно используют в продвижении технологии маркетинговые методы. Например, администраторы зоны давали скидки регистраторам на регистрацию имен. В итоге регистраторы продавали больше доменов, а администраторы зоны могли продемонстрировать рост регистраций, который был зафиксирован именно после старта в зоне DNSSEC. Скидки регистраторам давали, к примеру, во Франции (2,78 млн доменных имен на конец апреля 2014, 135 тысяч из них поддерживает протокол). В .CZ без поддержки этого протокола регистраторы не могли получить 5 звезд в сертификате, который выдавал администратор.

Администратор домена верхнего уровня для стран-членов Евросоюза .EU, запустил новый сервис, который значительно упрощает процесс подписания зон и управления доменными именами .EU в рамках безопасного протокола DNSSEC.

Далекая история

Вопрос о безопасности системы DNS волновал экспертов еще в далеком 1990 году, тогда выяснилось, что во время создания DNS безопасности было уделено недостаточное внимание. К 1995-му мысли о защите DNS оформились и появилось название будущей технологии – DNSSEC. К 1999 протокол разработали, а в 2001 выявили проблемы – невозможность использовать его в больших сетях. К 2005 протокол переписали заново и опробовали на зоне .SE. В 2007 присоединились Бразилия (.BR) и Болгария (.BG), в 2008 добавилась Чехия (.CZ).

.ORG стала первой из доменных зон общего назначения, организовавшей поддержку безопасного протокола работы с доменной информацией еще в 2009 году. Год спустя в домене Евросоюза .EU было завершено развертывание безопасного протокола DNSSEC. В мае 2010 года завершили развертывание технологии DNSSEC на всех тринадцати корневых серверах. А в июне 2010 года в США прошла первая в истории Интернета церемония генерации криптографического ключа, с помощью которого начали удостоверять адресную информацию в DNS.

В 2010 Verisign «впустила» DNSSEC в .NET, в 2011 – в .GOV и .COM. К тому времени в плеяде одобряющих было уже 59 TLD, на следующий год число возросло до 90.

На заре DNSSEC правительство США приняло решение о том, что все домены в зоне .GOV должны перейти на этот протокол. В 2010 компания Infoblox провела исследование, в ходе которого выяснилось, что домены зоны .GOV имеют довольно высокий по сравнению с соседними доменами показатель соответствия DNSSEC — 20%. (Правда, однажды сайты в зоне .GOV были какое-то время недоступны из-за ошибки ПО, возникшей при продлении алгоритмов генерации ключей DNSSEC).

Бум новостей о DNSSEC был в 2012 году, количество доменных зон, внедривших протокол, стремительно росло. С тех пор многие сайты на эту тему перестали обновляться (например, новостной раздел о DNSSEC на Icann.org и Dnssec-deployment.org). Администраторы доменных зон .COM, .NET, .ORG не афишируют данных о подписанных протоколом доменных именах в своих зонах, в то время как администраторы ccTLD ставят эту статистику на главной странице своих ресурсов и активно включают ее в годовые отчеты.

Российская история

В России экспериментировать с DNSSEC решили начать на базе домена .SU осенью 2011 года, параллельно изучая чужой опыт. Два года назад перспективы протокола в нашей стране казались экспертам туманными, правда, домен .РФ тогда был только-только подписан, а домен .RU в этом отношении был только в планах. DNSSEC в зоне .RU появился в самом конце 2012 года и большого распространения среди конечных пользователей не получил до сих пор. Сайтов, действительно поддерживающих DNSSEC, оказалось гораздо меньше, чем тех, для которых в зоне .RU размещены DS-записи. В мае 2013 года речь шла только о 82 доменах. Это число составляло около 0,002% от общего числа делегированных доменов.

Сейчас в домене .RU около 300 доменов подписано DNSSEC, в .РФ – около 40.

Казалось бы, все три российские зоны подписаны, дело за пользователями: администраторами сайтов, владельцами интернет-бизнеса и т.д. Но внедрение протокола сопряжено с рядом трудностей, например, с необходимостью модернизации инфраструктуры компаний, которые предоставляют услуги DNS (чтобы повысить его нагрузоустойчивость и вычислительные мощности). Та же история, кстати, с IPv6, который тоже подразумевает смену оборудования. Это уже не говоря об отсутствии сиюминутной выгоды для администраторов доменов. Все это не способствует распространению безопасного протокола.

Убеждая регистраторов внедрять DNSSEC, Координационный центр доменов .RU и .РФ говорит о том, что это поможет владельцам доменов в защите своего бренда и данных своих пользователей, поможет завоевать доверие и лояльность владельцев доменов, привлечь заботящихся о безопасности и о репутации администраторов. Кроме того, можно позиционировать DNSSEC как новую услугу, предоставить возможность использовать DNS в качестве транспорта для доверенного распространения другой важной информации (например, открытых ключей для различных сервисов), защитить свой бизнес, завоевав доверие сетевого сообщества.

DNSSEC пока не стал популярным протоколом в России, большинство владельцев сайтов, даже тех, где безопасность данных в приоритете, о нем просто не знают. Возможно, это просто закономерное поступательное развитие, которое приведет к хорошим результатам, но позже. IPv6 тоже пока трудно назвать популярным протоколом, хотя необходимость его использования не оставляет сомнений (предыдущий IPv4 уже исчерпан), но все ждут плановой замены оборудования на более современное, поддерживающее новую технологию. И поддержку государства. И рост сознательности пользователей. Возможно, и час DNSSEC еще придет.

Марина Пурим