TL;DR — DNSSEC предотвращает DNS-hijacking криптографической подписью твоих DNS-записей. Включи его в три клика на bunkerdomains, опубликуй DS-записи в регистратуре—готово.
Твой домен кэшируется везде—на ISP-резолверах, публичных DNS, CDN-ребрах. Без DNSSEC любой между тобой и пользователями может перепишет ответы. Они перенаправляют сайт на фишинг-клон, перехватывают почту или толкают малвэр. DNSSEC делает такую атаку обнаружимой.
Что на самом деле делает DNSSEC
DNS придуман в 1983-м без всякой аутентификации. Резолвер спрашивает "где example.com?" и верит любому ответу. DNSSEC добавляет цифровые подписи ко всем DNS-записям. Подписи идут цепочкой до корневой зоны, которую подписывает ICANN-ключ. Если кто-то тронет твои записи в пути, подпись рушится. Резолвер выбросит поддельный ответ.
Это критично для:
- High-value targets: крипто-биржи, активистские платформы, дарквеб-маркеты, утечки от осведомителей
- Целостность email: SPF/DKIM-записи не спуфятся, если DNSSEC живой
- HTTPS bootstrap: DANE (проверка TLS-сертификата через DNS) требует DNSSEC
- Resistance to censorship: сложнее тихо перенаправить домен без разрушения подписей
DNSSEC не шифрует DNS-запросы—используй DoH или DoT для этого. Он аутентифицирует ответы. Разные проблемы, разные инструменты.
Как работает цепь подписей
Твои нейм-серверы подписывают зону приватным ключом (ZSK—Zone Signing Key). Этот ключ сам подписан другим ключом (KSK—Key Signing Key). Хэш твоего публичного KSK становится DS-записью, которую ты опубликуешь в регистратуре. Регистратура подписывает эту DS-запись. Оператор TLD подписывает записи регистратуры. Корень подписывает TLD. Валидаторы проходят цепь от корня вниз к твоему домену.
Если звено разорвется—истекшая подпись, пропущенная DS-запись, ротированный ключ без обновления в регистратуре—валидация падает. Строгие валидаторы обрабатывают это как "домена не существует". Fallback на unsigned невозможен. Вот в чем суть.
Включение DNSSEC на bunkerdomains
Залезь в dashboard. Domains → выбери домен → DNS Settings → вкладка DNSSEC. Клик на Enable DNSSEC. Мы генерируем пару ключей, подписываем зону, выводим DS-запись.
Увидишь что-то вроде:
example.com. 3600 IN DS 12345 13 2 A1B2C3D4E5F6...
Четыре поля важны:
| Поле | Значение |
|---|---|
| 12345 | Key Tag (идентификатор этого KSK) |
| 13 | Algorithm (13 = ECDSA P-256 с SHA-256) |
| 2 | Digest Type (2 = SHA-256) |
| A1B2C3… | Digest (хэш твоего публичного ключа) |
Скопируй полную DS-запись. Нужно сабмитить её в регистратуру.
Публикация DS-записи
Большинство TLD позволяют добавлять DS-записи через регистратор-панель или EPP-команды. На bunkerdomains:
- Domain Management → DNSSEC Records
- Вставь DS-запись (или введи поля отдельно, если форма их разбивает)
- Клик Submit to Registry
Мы пушим через EPP. Распространение занимает 15 минут до 24 часов в зависимости от TLD. .com/.net быстрые. Некоторые ccTLD кэшируют дольше.
Выбор алгоритма
Дефолт—ECDSA P-256 (algorithm 13). Меньше ключи, быстрее валидация, поддерживается с 2013-го повсеместно. Легаси-валидаторы, ломающиеся на ECDSA, редкие и сломанные. Если нужен RSA для совместимости с древней инфраструктурой, напишите в поддержку—генерируем RSA-SHA256 вручную, но ты решаешь проблему, которой не должно быть в 2025-м.
Валидация и отладка
После публикации DS-записи проверь распространение:
dig +dnssec example.com
Ищи флаг ad (authenticated data) в заголовке ответа. Если есть—резолвер валидировал цепь. Если нет—либо DNSSEC ещё не live, либо что-то сломалось.
Частые ошибки:
- DS-запись не опубликована: регистратура не обработала твоё submission. Жди или проверь их логи.
- Подпись истекла: мы auto-renew подписи за 7 дней до expiry. Если ты паузил домен или переводил нейм-серверы в другое место, подписи гниют.
- Parent zone unsigned: пара TLD всё ещё не поддерживают DNSSEC (редко, но бывает). Проверь статус DNSSEC у TLD перед включением.
- Nameserver mismatch: если используешь custom нейм-серверы, убедись что они подписывают зону. bunkerdomains нейм-серверы это делают автоматически.
Используй DNSViz для визуализации цепи. Красные боксы—сломанные подписи. Зелёные—валидированы. Покажет точно где цепь падает.
Ротация ключей
Мы ротируем ZSK каждые 90 дней. KSK раз в год. Ты ничего не трогаешь—наша автоматизация обрабатывает подписи и пушит обновлённые DS-записи в регистратуру. Если управляешь ключами вручную (custom нейм-серверы), установи календарные напоминания. Пропущенная ротация ломает домен.
Mixed content и partial signing
Можешь подписать apex и оставить subdomains unsigned—просто не публикуй DS-записи для subs. Unsigned delegations работают нормально под подписанным parent. Обратное (подписанный child под unsigned parent) невозможно; цепь должна быть целой от корня вниз.
Impact на производительность
DNSSEC-ответы в 3–5 раз больше из-за signature (RRSIG) записей. IPv6 + DNSSEC может вытолкнуть UDP-ответ за 512 байт, вызвав фрагментацию или TCP-fallback. Модерн-резолверы это обрабатывают. Древние embedded девайсы (IoT-роутеры с 2 МБ прошивки) иногда падают.
Если твоя аудитория 95% модерн-десктопов/телефонов—включи. Если сервишь сельские сети с decade-old CPE, сначала тестируй. На практике мы видели меньше 0.1% breakage, но эти 0.1% будут орать.
Зачем вообще если есть HTTPS?
TLS шифрует соединение. DNSSEC аутентифицирует DNS-ответ, который говорит браузеру какой IP подключиться. Атакующий не может читать твой HTTPS-трафик, но без DNSSEC они могут перенаправить тебя на look-alike сервер с валидным Let's Encrypt сертом для examp1e.com. DNSSEC блокирует редирект. DANE идёт дальше: пиннит твой TLS-сертификат в DNS, так что даже скомпрометированный CA не может выдать поддельный сертификат для твоего домена.
Крипто-биржи, PGP-keyservers и Tor-bridge операторы должны запускать DNSSEC + DANE. Все остальные: это бесплатная страховка.
DNSSEC превращает DNS из открытки в заверенный документ. Включи, опубликуй DS-запись, валидируй. Если кто-то попробует захватить твой домен в полёте, подпись рушится и атака умирает. Никакого trust не требуется.