6 technologii, dzięki którym Twoja domena pozostanie bezpieczna

Większość protokołów tworzących fundamenty internetu powstało ponad trzy dekady temu, kiedy zagrożenia takie jak podsłuchiwanie i phishing nie istniały, a szybkość sieci liczona była w kilobitach. W ostatnim czasie wiele z nich doczekało się istotnych aktualizacji (HTTP/2, TLS 1.3), inne zaś czekają na szerszą adaptację (DNSSEC, DNS over TLS), nadal stanowiąc duże wyzwanie technologiczne dla dostawców hostingu. Oto 6 technologii, dzięki którym Twoja domena pozostanie bezpieczna.

Certyfikat SSL

„Zaszyfrujmy cały internet” to hasło, które od kilku lat napędza rozwój globalnej wioski. Jeszcze do niedawna certyfikaty używane były do zabezpieczania wyłącznie kluczowych elementów strony WWW: ekranów logowania, procesu płatności, formularzy z danymi osobowymi itp. Obecnie wymaga się, aby cały ruch wymieniany między serwerem, a przeglądarką użytkownika był zabezpieczony przez szyfrowanie.

Wdrożenie zabezpieczeń w witrynie ma bardzo praktyczny wymiar. Popularne przeglądarki oznaczają strony bez certyfikatu jako „Niezabezpieczone”, co nie najlepiej rzutuje na zaufanie internauty do danej witryny. Prawidłowo zabezpieczona strona www ma szansę na lepsze pozycjonowanie w wyszukiwarkach, tym bardziej jeśli została udostępniona na serwerze w najnowszej wersji protokołu HTTP/2. Popularne przeglądarki internetowe obsługują transmisję HTTP/2 wyłącznie w szyfrowanej wersji protokołu TLS.

Do wyboru mamy darmowe certyfikaty Let’s Encrypt z weryfikacją domeny (DV), ich komercyjne odpowiedniki np. nazwaSSL oraz certyfikaty z dodatkową walidacją organizacji (OV, EV). Najbardziej pożądany certyfikat typu EV potwierdza, że firma która się nim posługuje przeszła dokładny proces weryfikacji. Tak dokładny, że jej nazwa może pojawić się na pasku adresu.

TLS 1.3

Certyfikat potwierdza „tożsamość” strony internetowej, natomiast protokół TLS definiuje to, w jaki sposób przeglądarka komunikuje się z serwerem. Protokół ten odpowiada za uwierzytelnienie stron komunikacji, zaszyfrowanie ruchu oraz weryfikację, czy przekazane dane nie zostały zmienione w trakcie transmisji przez internet.

Protokół TLS jest stricte związany z zabezpieczaniem witryn internetowych i nie sposób go pominąć w kontekście certyfikatów cyfrowych, protokołu HTTP/2 i rozszerzenia DNS over TLS, o którym szerzej za chwilę. Tym bardziej, że najnowsza specyfikacja TLS 1.3 zyskuje coraz szerszą adaptację wśród dostawców hostingu np. w nazwa.pl.

TLS 1.3 usuwa wiele podatności protokołu na dobrze znane wektory ataku. W najnowszej specyfikacji protokołu nie znajdziemy już algorytmów kryptograficznych uznanych za przestarzałe. Zabroniono również korzystania z takich mechanizmów jak obniżanie wersji protokołu, renegocjacji połączeń czy wznawiania sesji, które powszechnie wykorzystywano do łamania zabezpieczeń.

Z drugiej strony TLS 1.3 wnosi kilka usprawnień w zakresie szybkości ładowania strony. Mowa tutaj o zmniejszeniu o jeden liczby przebiegów w trakcie ustanawiania bezpiecznego połączenia między stronami oraz nowym trybie 0-RTT, który umożliwia natychmiastowe wznowienie połączenia między witrynami, którymi wcześniej zaszła bezpieczna komunikacja.

DNSSEC

Powszechnym zagrożeniem stał się phishing, czyli oszustwo polegające na podszywaniu się pod inną firmę lub instytucję w celu wyłudzenia informacji. Wiele ataków phishingowych wykorzystuje słabości systemu DNS, które pozwalają na przekazanie fałszywej informacji o adresie IP serwera, pod którym uruchomiono stronę do złudzenia przypominającą tę prawdziwą. DNSSEC w dużej mierze ogranicza ten problem.

DNSSEC wprowadza dodatkową warstwę zabezpieczeń systemu DNS, która pomaga stwierdzić, czy informacja otrzymana od serwera DNS jest prawdziwa i wiarygodna. Działanie DNSSEC jest w pełni przezroczyste dla użytkownika. Wdrożenie DNSSEC leży w gestii operatora i właściciela domeny. Liderem jest tutaj nazwa.pl, która obsługuje 91% domen polskiego rejestru zabezpieczonych tym rozwiązaniem.

Technicznie działanie DNSSEC jest zbliżone do idei certyfikatów cyfrowych. DNSSEC korzysta z mechanizmu kryptografii asymetrycznej i podpisów cyfrowych, aby na podstawie łańcucha zaufania do nadrzędnych serwerów DNS potwierdzić poprawność odpowiedzi systemu DNS na zapytanie użytkownika.

DNS over TLS

Standardowo, zapytania do serwerów DNS przesyłane są w formie niezabezpieczonej, jawnym tekstem. Ta cecha czyni system DNS podatnym na podsłuchiwanie i fałszowanie. Mechanizm DNS over TLS pozwala zaszyfrować ruch między komputerem użytkownika, a serwerem DNS. W rezultacie użytkownicy mogą cieszyć się z większej prywatności przeglądania internetu.

DNS over TLS w duecie z DNSSEC stanowią idealną parę. Pierwszy mechanizm zabezpiecza transmisję danych, drugi potwierdza, że otrzymane z systemu DNS informacje są wiarygodne.

Obsługa DNS over TLS dostępna jest m.in. na serwera DNS Google i nazwa.pl. Problem w tym, że wsparcie dla tego rozszerzenia w przeglądarkach (Firefox, Chrome, Opera) i samym Windows 10 jest w fazie rozwoju. Aby już dzisiaj korzystać z zalet jakie wnosi DNS over TLS konieczne jest skorzystanie z dodatkowych narzędzi np. DNSCrypt, które wykonują zapytania do systemu DNS przez bezpieczne połączenie.

DNS Anycast

Działanie sieci CDN (Content Delivery Network) zakłada wykorzystanie wielu geograficznie rozproszonych serwerów, aby dostarczyć użytkownikowi stronę WWW i inne treści z najbliższej mu lokalizacji. Podejście to zapewnia szybsze ładowanie stron internetowych niezależnie od lokalizacji użytkownika. Nie wszyscy jeszcze wiedzą, że wpływ na czas dostępu do strony ma również szybkość odpowiedzi z systemu DNS.

Z danych nazwa.pl wynika, że ponad 40% zapytań o polskie domeny kierowanych jest spoza Polski. Mechanizm DNS Anycast pozwala obsłużyć je szybciej i prawidłowo. Nazwa.pl dysponuje serwerami DNS rozsianymi w 15 miastach na całym świecie na sześciu kontynentach, z których każdy obsługuje zapytania użytkowników z najbliższej im lokalizacji.

Wdrożenie domeny w systemie DNS Anycast ma jeszcze inny wymiar. Geograficzne rozproszenie serwerów DNS istotnie utrudnia przeprowadzenie skutecznego ataku typu DDoS. Jeśli infrastruktura DNS została zgromadzona w jednym miejscu silny atak DDoS może skutecznie odciąć strony internetowe użytkowników od świata zewnętrznego. W jednym zdaniu: przeglądarka nie otrzyma informacji z jakim serwerem powinna się połączyć, aby wyświetlić daną witrynę WWW.

Rekord CAA

Rekord CAA (Certification Authority Authorization) pomaga zwiększyć bezpieczeństwo domeny poprzez dodanie do systemu DNS informacji o tym, którzy wydawcy mogą wystawiać certyfikaty cyfrowe dla chronionej nazwy domeny. CA/Browser Forum nakłada na wydawcach certyfikatów weryfikację zawartości rekordu CAA dla nazwy domeny, dla której złożono wniosek o wydanie certyfikatu. Wydawca ma obowiązek odrzucić każdy taki wniosek np. złożony przez oszusta, jeśli nie znajduje się on na liście centrów uprawnionych do wydania certyfikatów dla domeny.

W rekordzie CAA warto zawrzeć jeszcze dwie inne ważne informacje. Pierwsza z nich definiuje, czy dla domeny istnieje możliwość wystawiania certyfikatów typu wildcard. Druga pozwala wskazać adres e-mail, na które zostanie dostarczone powiadomienie o próbie wystawienia certyfikatu przez nieautoryzowanego wydawcę.

W ramach pakietu Bezpieczna domena nazwa.pl oferuje certyfikat SSL: do wyboru darmowy Let’s Encrypt lub komercyjny certyfikat nazwaSSL, w tym typu wildcard. Wszystkie domeny obsługiwane przez tego operatora zostały zabezpieczone protokołem DNSSEC. Serwery nazwa.pl obsługują wszystkie najnowsze technologie takie jak TLS 1.3 i DNS over TLS. Właściciel domeny może zdefiniować rekord CAA aby jawnie wskazać, którzy wydawcy mogą wystawić certyfikat cyfrowy dla danej nazwy domeny. W ramach pakietu Bezpieczna domena nazwa domeny rejestrowana jest w systemie DNS Anycast nazwa.pl, który działa na wszystkich sześciu zamieszkałych kontynentach, zapewniając maksymalnie szybkie ładowanie stron, niezależnie od lokalizacji użytkownika.