Định nghĩa:
Các máy chủ Email sử dụng DNS để định tuyến (route) thư của họ, điều đó có nghĩa là họ dễ bị tổn thương bởi các vấn đề bảo mật trong cơ sở hạ tầng DNS. Vào tháng 9 năm 2014, các nhà nghiên cứu tại CMU phát hiện ra rằng email được cho là gửi qua các máy chủ Yahoo!, Hotmail và Gmail lại được định tuyến qua các máy chủ thư giả mạo (rogue mail servers). Những kẻ tấn công đã khai thác lỗ hổng bảo mật đã tồn tại hàng thập kỷ trong hệ thống phân giải tên miền (DNS)-nó không kiểm tra thông tin xác thực (credentials) trước khi chấp nhận câu trả lời.
Giải pháp là giao thức có tên DNSSEC; nó bổ sung thêm một lớp tin cậy lên trên DNS bằng cách cung cấp xác thực (authentication). Khi trình phân giải DNS đang tìm kiếm địa chỉ như blog.cloudflare.com chẳng hạn, name servers .com giúp trình phân giải xác minh các bản ghi được trả về cho cloudflare và cloudflare giúp xác minh các bản ghi được trả về cho blog. Name server DNS gốc giúp xác minh .com và thông tin do máy chủ gốc công bố được kiểm tra bằng một quy trình bảo mật kỹ lưỡng.
DNSSEC tạo ra một hệ thống phân giải tên miền (DNS) an toàn bằng cách thêm chữ ký mã hóa (cryptographic signatures) vào các bản ghi DNS hiện có. Các chữ ký số này được lưu trữ trong máy chủ tên DNS cùng với các loại bản ghi phổ biến như A, AAAA, MX, CNAME, v.v. Bằng cách kiểm tra chũ ký liên quan, bạn có thể xác minh rằng bản ghi DNS được yêu cầu đến từ name server chính thức (authoritative) và không bị thay đổi trên đường truyền (altered en-route), trái ngược với bản ghi giả mạo được đưa vào (fake record injected) trong một cuộc tấn công trung gian (man-in-the-middle attack). [nguồn tham khảo]
Tóm lại chúng ta có thể hiểu đơn giản là với DNS truyền thống, kẻ tấn công có thể can thiệp vào đường truyền để trả về các kết quả giả mạo, tức không phải IP chính xác của tên miền đó, nó sẽ điều hướng đến IP giả mạo mà nó muốn. Và DNSSEC là giải pháp để ngăn chặn tình trạng đó bằng cách thêm một lớp xác thực đáng tin cậy hơn.
OK, chúng ta sẽ không đi sâu vào xem lớp xác thực đó hoạt động như thế nào, cơ chế của nó là gì, vân vân. Phần tiếp theo chúng ta sẽ chỉ đi vào ứng dụng thực tế khi dùng Cloudflare để bật DNSSEC.
A. Nếu bạn mua tên miền tại Cloudflare
Nếu tên miền bạn mua tại Cloudflare, bước xác thực rất đơn giản & tự động, bạn chỉ việc vào DNS > Settings.
Click vào Enable DNSSEC thì nó sẽ được bật, và tự động xác thực trong vài phút, bạn không cần làm gì thêm.
B. Tên miền từ nhà cung cấp khác
Ở đây giả sử bạn đã dùng Cloudflare là nơi lưu các bản ghi DNS.
Bạn cũng vào bật DNSSEC như mô tả ở phần A. Sau đó sẽ có các bản ghi được cung cấp.
Giờ bạn sẽ cần vào nhà cung cấp tên miền để copy các bản ghi này vào.
Cửa sổ như sau bật ra, và bạn cần nhập các bản ghi mà nó yêu cầu. Lưu ý là thường nhà cung cấp tên miền không cần toàn bộ tất cả các bản ghi mà Cloudflare đưa ra. Trong ví dụ bên dưới họ chỉ cần 4 bản ghi, điểm mấu chốt là bạn phải copy chính xác:
Ví dụ thực tế:
Cuối cùng bạn nhấn Save.
Sau đó chuyển qua phần cửa sổ các bản ghi mà bạn vừa copy, kéo xuống dưới, và nhấn Cofirm, khoảng 10 phút quá trình xác thực sẽ thành công nếu bạn không copy nhầm bất cứ bản ghi nào cần.
