Продуктивність: DNSSEC додає до запитів DNS додатковий рівень перевірки, що потенційно може вплинути на ефективність пошуку DNS. У деяких випадках це може призвести до помітної затримки часу, необхідного для вирішення запиту DNS. Сумісність: DNSSEC не підтримується всіма DNS-перетворювачами та серверами імен.
Якщо невеликий обсяг підроблених запитів UDP DNSSEC надсилається на сервери імен, жертва отримає великий обсяг відображеного трафіку. Іноді цього достатньо, щоб перевантажити сервер жертви та спричинити відмову в обслуговуванні.
DNSSEC і ризики кібербезпеки
- Підробка DNS і отруєння кешу DNS, коли DNS-розпізнавач повертає неправдиву інформацію, наприклад шкідливий веб-сайт зловмисника.
- Викрадення DNS, коли зловмисник перенаправляє запит.
Плюси та мінуси використання DNSSEC
| Переваги | Недоліки |
|---|---|
| Покращує безпеку шляхом перевірки автентичності та цілісності даних DNS. | Може бути складним для реалізації та керування. |
| Захищає від атак підробки DNS і отруєння кешу. | Це може збільшити час відповіді на DNS-запит через додатковий процес перевірки. |
Більшість людей не захищають свої сайти за допомогою DNSSEC тому що вони отримують від цього дуже мало цінності. Іншим способом сказати це є те, що немає особливого стимулу, тому що, наприклад, браузери не показують з’єднання, які включають перевірку DNSSEC, як більш безпечні, ніж з’єднання, які цього не роблять.
Так, вам потрібен DNSSEC, щоб забезпечити автентичність записів DNS і уникнути потенційних атак зловмисників DNS.
Ця дія незворотна. Якщо ви вимкнете DNSSEC у домені, ви втратите відповідні ключі. Ви можете отримати ключі, лише відновивши їх із повної резервної копії облікового запису.