Dlaczego „Bezpieczna Domena” w nazwa.pl jest bezpieczna

Domena to unikalna nazwa w sieci Internet, stanowiąca pierwszy krok do założenia firmowego serwisu WWW i kont poczty elektronicznej. Od tego pierwszego kroku zależy, czy hasła na stronie WWW i do poczty elektronicznej będą bezpieczne. Współczesna sieć pełna jest zagrożeń, dlatego warto wybrać Rejestratora, który nie tylko dokona rejestracji wymarzonej nazwy, ale również zadba o nasze bezpieczeństwo.

Rejestracja domeny polega na dokonaniu odpowiedniego wpisu w bazie prowadzonej przez operatora domeny którą wybraliśmy. W przypadku domeny kończącej się na .pl jest to NASK – Państwowy Instytut Badawczy podlegający Ministerstwu Cyfryzacji. Nieistotne który Rejestrator dokona tego wpisu, gdyż w tym zakresie usługi firm niczym się nie różnią. Problemy zaczynają się natomiast chwilę później…

Czy leci z nami pilot?!

W wyniku rejestracji domeny powstaje wpis, który informuje które serwery DNS w sieci Internet odpowiadają za obsługę naszej nazwy oraz, co najważniejsze dla bezpieczeństwa, domena zostaje lub nie zostaje zabezpieczona za pomocą DNSSEC. Zabezpieczenie to uniemożliwia podszywanie się pod naszą domenę, a tym samym stronę WWW i konto poczty elektronicznej. O skutkach przejmowania numerów kart kredytowych na naszej stronie WWW, czy też wysyłania wiadomości z naszego adresu e-mail lepiej nie myśleć…

Pomimo, że korzyści ze stosowania DNSSEC są niezaprzeczalne, w Polsce z tego zabezpieczenia korzysta jedynie około 500 tysięcy domen, z czego w nazwa.pl obsługiwanych jest ponad 90% z nich! Oznacza to, że pozostali Rejestratorzy za nic mają bezpieczeństwo swoich użytkowników, udając, że problem nie istnieje. I dzieje się to nawet w sytuacji, gdy organizacja nadzorująca rejestrację domen na całym świecie ICANN wydała oficjalną rekomendację w zakresie stosowania tego zabezpieczenia, a w wysokorozwiniętych krajach Europy Zachodniej stosowanie DNSSEC jest standardem.

Cena czyni cuda

Brak stosowania zabezpieczeń DNSSEC wynika jednak przede wszystkim z ciągłej presji na obniżanie cen za rejestrację domen. Sprzedaż „golasów” bez zabezpieczeń we wszystkich branżach w Polsce jest bardzo popularna, a brak regulacji prawnych, jak w przypadku na przykład konieczności stosowania poduszek powietrznych w samochodach, powoduje, że tacy Rejestratorzy udają, że problem nie istnieje i sprzedają klientom niezabezpieczone usługi.

Serwery DNS w nazwa.pl kluczowe
dla bezpieczeństwa Polski

Oprócz stosowania zabezpieczenia DNSSEC, na cenę wpływa również udostępnianie przez nazwa.pl serwerów DNS z wykorzystaniem technologii Anycast. Serwery te rozlokowane są na wszystkich 6 zamieszkałych kontynentach, zarówno skracając czas odpowiedzi, jak i przede wszystkim chroniąc obsługiwane domeny przed niedostępnością spowodowaną atakami DDoS.

Wielkości ataków na serwery DNS Anycast w nazwa.pl przekraczają 100 gigabitów na sekundę, a ataki rzędu kilkunastu gigabitów to już codzienność, zdarzająca się kilka razy w tygodniu. Skala tych ataków nie dziwi jednak, gdyż nazwa.pl obsługuje co czwartą domenę w Polsce, a spółka została uznana przez Ministerstwo Cyfryzacji za operatora usługi kluczowej w sektorze infrastruktury, polegającej na prowadzeniu autorytatywnego serwera DNS – mówi Rafał Lorenc dyrektor IT w nazwa.pl

Może wydawać się, że skala ataków cyberprzestępców wynika z dużej liczby domen obsługiwanych przez serwery DNS Anycast nazwa.pl, ale to nieprawda, gdyż zazwyczaj ataki dotyczą pojedynczych domen. Ataki, z jakimi nazwa.pl radzi sobie bez problemu, dla 99% polskich dostawców kończy się krótszą lub dłuższą niedostępnością.

A podsłuchiwać można?

Zabezpieczenie DNS over TLS to kolejna unikalna w Polsce usługa oferowana przez nazwa.pl w ramach usługi rejestracji domeny. Zabezpiecza za pomocą szyfrowanych połączeń SSL całą transmisję do serwerów DNS Anycast nazwa.pl. Jest tym samym co HTTPS dla transmisji stron WWW. Skoro nikt nie chce, aby jego połączenia do stron WWW lub poczty e-mail były podsłuchiwane, to czemu miałby pozwalać, aby ktoś „podsłuchiwał” z jakimi adresami w sieci Internet się łączy?

Bezpieczne procedury chroniące prawa do domen

W zakresie organizacyjnym wielu Rejestratorów obniża swoje koszty, umożliwiając swoim klientom wykonywanie wszystkich operacji w sposób automatyczny. O ile jednak automatyzacja jest dla wszystkich korzystna, to jej skutki mogą grozić w niektórych wypadkach utratą prawa do zarejestrowanych domen. O ile bowiem każdą nieautoryzowaną operację, w szczególności zmianę abonenta domeny na inną osobę u tego samego Rejestratora, można odwrócić, to w przypadku przeniesienia domeny pomiędzy Rejestratorami taka operacja może być w praktyce niemożliwa.

Operacje zmiany Rejestratora są bardzo rzadkie, dlatego chroniąc swoich klientów, nazwa.pl stosuje jedynie bezpieczniejsze prawnie formy wydawania kodów, służących przenoszeniu domen pomiędzy Rejestratorami za pomocą korespondencji papierowej z wykorzystaniem operatora wyznaczonego, jakim w chwili obecnej, decyzją Urzędu Komunikacji Elektronicznej, jest Poczta Polska. Korespondencja ta przekazywana jest więc bezpiecznym kanałem jakim przesyłane są wszystkie dokumenty urzędowe, na adres abonentów domeny.

W zakresie bezpieczeństwa abonentów domen kroki poczynił również NASK uruchamiając w pierwszej połowie 2019 roku usługę Registry Lock. Podnoszenie bezpieczeństwa, nawet kosztem mniejszej automatyzacji, jest więc kierunkiem w którym podążają odpowiedzialne biznesowo firmy.

Bezpiecznie w nazwa.pl nadal oznacza tanio

Ile miesięcznie kosztuje najtańszy abonament telefoniczny? Około 30zł, podczas gdy cena za rejestrację domeny w nazwa.pl, z zabezpieczeniami DNSSEC przed atakami cyberprzestępców oraz z obsługą domeny na bezpiecznych serwerach DNS Anycast nazwa.pl, to koszt trzy razy niższy. O ile więc w przypadku osób prywatnych kilka złotych miesięcznie różnicy pomiędzy ceną w nazwa.pl, a najtańszymi ofertami na rynku może mieć znaczenie, to w przypadku firm wykorzystujących domeny do swojej działalności kupowanie „golasów” bez istotnych zabezpieczeń wymienionych powyżej jest zwyczajnie nieracjonalną decyzją.