Check-Host.cc

معلومات Ping HTTP TCP UDP MTR DNS

أداة التحقق من DNSKEY العالمية

سجل موارد DNSKEY هو الأساس المشفر لـ DNSSEC (ملحقات أمان نظام أسماء النطاقات). بروتوكول DNS الأساسي غير مشفر بطبيعته وعديم الحالة (Stateless)، مما يجعله عرضة بشكل كبير لتسمم ذاكرة التخزين المؤقت (Cache Poisoning) وهجمات الانتحال (Man-in-the-Middle). يحل DNSSEC هذه المشكلة عن طريق إرفاق توقيعات رياضية ومشفرة باستجابات DNS. يعمل سجل DNSKEY كمستودع للمفاتيح العامة؛ فهو يحتفظ بالمفاتيح العامة المشفرة بـ Base64 التي تستخدمها المحللات (Resolvers) البعيدة للتحقق من أن الـ Payload الخاص بسجلات A أو MX نشأ بالفعل من خادم الأسماء الموثوق ولم يتم التلاعب به أثناء النقل.

بنية ZSK و KSK

ينشر تطبيق DNSSEC القياسي مفتاحين متميزين لموازنة الأمان مع الكفاءة التشغيلية. مفتاح توقيع المنطقة (ZSK) هو مفتاح تشفير أصغر وأقل عبئاً يُستخدم لتوقيع السجلات الفردية (A و TXT و CNAME) بسرعة داخل المنطقة. نظراً لأنه يتعامل مع التوقيع المجمع (Bulk Signing)، يتم تدوير ZSK بشكل متكرر (على سبيل المثال، كل 30 يوماً) لمنع كسر التشفير بالقوة الغاشمة (Brute-Force). مفتاح توقيع المفتاح (KSK) هو مفتاح أقوى بكثير وحراسة مشددة. هدفه الوحيد هو توقيع ZSK نفسه. من خلال فصل هذه المفاتيح، يمكن للمسؤولين تدوير ZSK محلياً على خادم الأسماء دون الحاجة إلى التواصل باستمرار مع سجل TLD الأصلي.

سلسلة الثقة وسجلات DS

إن نشر سجل DNSKEY في منطقتك عديم الفائدة ما لم يكن هناك مسار ثقة يمكن التحقق منه يمتد حتى جذر الإنترنت. بمجرد أن يولد KSK توقيعاً، يتم إرسال التجزئة (Hash) الرياضية لـ KSK إلى مسجل النطاق كسجل DS (مفوض التوقيع). ينشر المسجل سجل DS هذا في منطقة TLD الأصلية (مثل سجل .com). عندما يستعلم محلل تعودي (Recursive Resolver) عن نطاقك، فإنه يجلب سجل DS من الأصل لمصادقة KSK، ويستخدم KSK لمصادقة ZSK، ويستخدم ZSK لمصادقة عنوان IP النهائي. إذا تم كسر أي رابط في هذه السلسلة المشفرة، يفشل التحقق تماماً.

انقطاعات SERVFAIL الكارثية

تتطلب إدارة سجلات DNSKEY دقة مطلقة. تم تصميم DNSSEC ليكون بطبيعة "Fail Closed". إذا قام برنامج نصي آلي بتدوير ZSK على الخادم ولكن لم يتم تحديث سجل DNSKEY العام المقابل في المنطقة العالمية، فلن تتطابق توقيعات التشفير. سيفسر مزودو خدمة الإنترنت والمحللات العامة مثل Google (8.8.8.8) و Cloudflare (1.1.1.1) هذا على أنه هجوم إلكتروني نشط. وسيسقطون استجابة DNS فوراً ويعيدون حالة SERVFAIL قاتلة إلى العميل، مما يؤدي فعلياً إلى محو النطاق من الإنترنت حتى تتم مزامنة المفاتيح يدوياً أو يتم تعطيل DNSSEC بالكامل على مستوى المسجل.