ملحقات أمان نظام اسم المجال (DNSSEC – Domain Name System Security Extensions). وهو امتداد لنظام أسماء النطاقات القياسي (DNS)، الذي يترجم أسماء النطاقات إلى عناوين IP.
يعمل DNSSEC على تحسين الأمان من خلال التحقق من صحة بيانات DNS.
تم تطوير نظام أسماء النطاقات الأصلي في الثمانينات مع الحد الأدنى من الأمان. على سبيل المثال، عندما يطلب المضيف عنوان IP من خادم أسماء باستخدام استعلام DNS قياسي، فإنه يفترض أن خادم الأسماء صالح.
ومع ذلك، يمكن لخادم الأسماء أن يتظاهر بأنه خادم آخر عن طريق انتحال (أو تزوير) عنوان IP الخاص به. من المحتمل أن يقوم خادم الأسماء المزيف بإعادة توجيه أسماء النطاقات إلى مواقع الويب الخاطئة.
يوفر DNSSEC أمانًا إضافيًا من خلال طلب المصادقة باستخدام التوقيع الرقمي. يتم “توقيع” كل استعلام واستجابة باستخدام زوج مفاتيح عام/خاص.
يتم إنشاء المفتاح الخاص بواسطة المضيف ويتم إنشاء المفتاح العام بواسطة منطقة DNS أو مجموعة من الخوادم الموثوقة. تقوم هذه الخوادم بإنشاء سلسلة ثقة، حيث تتحقق من صحة المفاتيح العامة لبعضها البعض. يقوم كل خادم أسماء يدعم DNSSEC بتخزين مفتاحه العام في سجل DNS “DNSKEY” مجزأ.
إقرأ أيضاً… ما هو بروتوكول مخطط بيانات المستخدم (UDP)؟
تمكين DNSSEC.
على الرغم من أن ملحقات أمان نظام اسم المجال DNSSEC ليس مطلوبًا لخوادم الويب أو خوادم البريد، إلا أن العديد من مضيفي الويب ينصحون به. لتكوين DNSSEC، يجب عليك استخدام خادم أسماء يدعمه، مثل PowerDNS أو Knot DNS.
ثم يجب عليك تمكين DNSSEC على الخادم الخاص بك وتكوينه من خلال واجهة لوحة التحكم.
إذا كنت تستخدم خادم أسماء عام، فقد يكون تنشيط DNSSEC بسيطًا مثل النقر فوق “تمكين DNSSEC”. إذا كنت تستخدم خادم أسماء مخصصًا، فقد تحتاج إلى إنشاء سجل واحد أو أكثر من سجلات موقع التفويض (DS) يدويًا.
بعد تمكين DNSSEC، قد يستغرق التنشيط عدة ساعات حيث يجب على الخادم التحقق من صحة سجلات DS مع خوادم أخرى داخل منطقة DNS.