В эпоху социальных сетей, онлайн-покупок, электронного банкинга и электронного администрирования безопасность веб-сайтов никогда не была так важна. Когда вы ведете бизнес в Интернете, современные технологии помогут вам укрепить доверие клиентов и соблюдать правовые нормы, например, GDPR. Знаете ли вы, что безопасность сайта начинается с домена?
Большинство протоколов, составляющих основу Интернета, были созданы более трех десятилетий назад, когда таких угроз, как подслушивание и фишинг, не существовало, а скорость сети была рассчитана в килобитах. В последнее время многие из них претерпели значительные обновления (HTTP / 2, TLS 1.3), в то время как другие ожидают более широкой адаптации (DNSSEC, DNS поверх TLS), что по-прежнему является серьезной технологической проблемой для провайдеров хостинга. Вот 6 технологий, которые обеспечат безопасность вашего домена.
SSL сертификат
«Давайте зашифруем весь интернет» — это пароль, который стимулирует развитие глобальной деревни в течение нескольких лет. До недавнего времени сертификаты использовались для защиты только ключевых элементов веб-сайта: экранов входа в систему, процесса оплаты, форм с личными данными и т. Д. В настоящее время весь обмен трафиком между сервером и браузером пользователя защищен шифрованием.
Реализация безопасности на вашем сайте имеет очень практическое измерение. Популярные браузеры отмечают несертифицированные страницы как «небезопасные», что не очень хорошо для доверия пользователей Интернета к сайту. Надлежащим образом защищенный веб-сайт имеет шанс для лучшего позиционирования в поисковых системах, особенно если он был сделан доступным на сервере в последней версии протокола HTTP / 2 . Популярные веб-браузеры поддерживают передачу HTTP / 2 только в зашифрованной версии протокола TLS .
Вы можете выбрать бесплатные сертификаты Let’s Encrypt с проверкой домена (DV), их коммерческие эквиваленты, например, имя SSL, и сертификаты с дополнительной проверкой организации (OV, EV). Наиболее желательный сертификат EV подтверждает, что компания, использующая его, прошла тщательный процесс проверки. Настолько точно, что его имя может появиться в адресной строке.
TLS 1.3
Сертификат подтверждает «идентичность» веб-сайта, а протокол TLS определяет, как браузер взаимодействует с сервером. Этот протокол отвечает за аутентификацию страниц связи, шифрование трафика и проверку того, что передаваемые данные не были изменены во время передачи через Интернет.
Протокол TLS строго связан с безопасностью веб-сайтов и не может быть опущен в контексте цифровых сертификатов, протокола HTTP / 2 и расширения DNS поверх TLS , которые будут обсуждаться более подробно ниже. Тем более что последняя спецификация TLS 1.3 приобретает все большую адаптацию среди провайдеров хостинга, например, в nazwa.pl .
TLS 1.3 устраняет многие уязвимости протокола для известных векторов атак. В последней спецификации протокола мы больше не найдем криптографические алгоритмы, считающиеся устаревшими. Также было запрещено использовать такие механизмы, как понижение версии протокола, повторное согласование соединений или возобновление сеансов, которые обычно использовались для нарушения безопасности.
С другой стороны, TLS 1.3 приносит несколько улучшений с точки зрения скорости загрузки страниц. Мы говорим здесь об уменьшении количества проходов при установлении безопасного соединения между сторонами и о новом режиме 0-RTT, который позволяет немедленно возобновить соединение между сайтами, которые ранее имели безопасную связь.
DNSSEC
Фишинг, мошенничество, связанное с подделкой другой компании или учреждения под фишинговую информацию, стало широко распространенной угрозой. Многие фишинговые атаки используют уязвимости DNS, которые позволяют передавать ложную информацию об IP-адресе сервера, на котором был запущен веб-сайт, который выглядит как настоящий. DNSSEC значительно уменьшает эту проблему.
DNSSEC представляет дополнительный уровень безопасности DNS, который помогает определить, является ли информация, полученная от DNS-сервера, достоверной и надежной. Работа DNSSEC полностью прозрачна для пользователя. Внедрение DNSSEC является обязанностью оператора и владельца домена. Лидером здесь является nazwa.pl , который поддерживает 91% польских доменов реестра, защищенных этим решением.
Технически работа DNSSEC аналогична идее цифровых сертификатов. DNSSEC использует асимметричную криптографию и цифровые подписи для проверки ответов DNS на запросы пользователей на основе цепочки доверия родительских DNS-серверов.
DNS через TLS
По умолчанию запросы к DNS-серверам отправляются в незащищенном текстовом формате. Эта функция делает DNS уязвимым для прослушивания и подмены. Механизм DNS over TLS позволяет шифровать трафик между компьютером пользователя и DNS-сервером. В результате пользователи могут пользоваться большей конфиденциальностью при работе в Интернете.
DNS over TLS в дуэте с DNSSEC — идеальная пара. Первый механизм обеспечивает передачу данных, второй подтверждает, что информация, полученная от DNS, является надежной.
DNS over TLS поддержка доступна, среди прочего на DNS-сервере Google и nazwa.pl . Проблема в том, что поддержка этого расширения в браузерах (Firefox, Chrome, Opera) и самой Windows 10 находится в стадии разработки. Чтобы воспользоваться преимуществами DNS по сравнению с TLS сегодня, необходимо использовать дополнительные инструменты, например DNSCrypt , которые выполняют запросы DNS по безопасному соединению.
DNS Anycast
Работа сети CDN (Content Delivery Network) предполагает использование множества географически распределенных серверов для предоставления пользователю веб-сайта и другого контента из ближайшего к нему места. Такой подход обеспечивает более быструю загрузку веб-сайтов независимо от местоположения пользователя. Не все еще знают, что на скорость доступа к сайту также влияет скорость ответа DNS .
Данные nazwa.pl показывают, что более 40% запросов о польских доменах направляются из-за пределов Польши. Механизм Anycast DNS позволяет обрабатывать их быстрее и правильно. У Nazwa.pl есть DNS-серверы, разбросанные по 15 городам мира на шести континентах, каждый из которых обрабатывает запросы пользователей из своего ближайшего местоположения.
Реализация домена в DNS Anycast имеет еще одно измерение. Географическое распределение DNS-серверов значительно препятствует эффективной атаке DDoS. Если инфраструктура DNS была собрана в одном месте, сильная DDoS-атака может эффективно отрезать сайты пользователей от внешнего мира. В одном предложении: браузер не будет получать информацию о том, к какому серверу он должен подключиться для отображения данного веб-сайта.
CAA запись
Запись CAA (Certification Authority Authorization) помогает повысить безопасность домена, добавляя в DNS информацию о том, какие издатели могут выпускать цифровые сертификаты для защищенного доменного имени. CA / Browser Forum обязывает издателей сертификатов проверять содержание записи CAA для доменного имени, для которого была подана заявка на сертификат. Издатель обязан отклонить любой такой запрос, например, сделанный мошенником, если он не включен в список центров, уполномоченных выдавать сертификаты для домена.
Стоит включить две другие важные информации в записи CAA . Первый определяет, можно ли выдавать групповые сертификаты для домена. Второй позволяет указать адрес электронной почты, на который будет доставлено уведомление о попытке выдачи сертификата неавторизованным издателем.
Как часть пакета Safe domain name.pl , он предлагает сертификат SSL : либо бесплатный Let’s Encrypt, либо коммерческий сертификат nameSSL , включая подстановочный тип. Все домены, поддерживаемые этим оператором, защищены протоколом DNSSEC . Серверы Nazwa.pl поддерживают все новейшие технологии, такие как TLS 1.3 и DNS поверх TLS . Владелец домена может определить запись CAA, чтобы явно указать, какие издатели могут выпустить цифровой сертификат для данного доменного имени. Как часть пакета Secure Domain, доменное имя регистрируется в системе DNS Anycast nazwa.pl , которая работает на всех шести обитаемых континентах, обеспечивая максимально быструю загрузку страниц независимо от местоположения пользователя.
