การถกเถียงเกี่ยวกับ DNSSEC (Domain Name System Security Extensions) มีความรุนแรงมากขึ้นในชุมชนเทคโนโลยี โดยผู้เชี่ยวชาญด้านความปลอดภัยเริ่มตั้งคำถามมากขึ้นว่าประโยชน์ของโปรโตคอลนี้คุ้มค่ากับต้นทุนการนำไปใช้และความซับซ้อนหรือไม่ แม้ว่า DNSSEC จะถูกออกแบบมาเพื่อป้องกันการโจมตี DNS hijacking แต่การยอมรับใช้งานยังคงอยู่ในระดับต่ำอย่างดื้อรั้นหลังจากการพัฒนามากว่า 25 ปี
การป้องกันการโจมตีในโลกแห่งความจริง เทียบกับ ปัญหาการปรับใช้งานจริง
ผู้สนับสนุน DNSSEC ชี้ไปที่กรณีที่มีการบันทึกไว้ซึ่งโปรโตคอลนี้สามารถป้องกันความสูญเสียทางการเงินที่สำคัญได้ การโจมตี BGP hijacking ในปี 2018 ที่มุ่งเป้าไปที่เซิร์ฟเวอร์ DNS ของ Amazon Route53 ส่งผลให้เงินสกุลดิจิทัลถูกขโมยไป 152,000 ดอลลาร์สหรัฐ ซึ่งเป็นเหตุการณ์ที่ DNSSEC น่าจะป้องกันได้ในทางทฤษฎีโดยการตรวจสอบความถูกต้องของการตอบสนอง DNS อย่างไรก็ตาม นักวิจารณ์โต้แย้งว่าสถานการณ์การโจมตีที่แปลกใหม่เช่นนี้ไม่สามารถอธิบายได้ถึงการลงทุนในโครงสร้างพื้นฐานขนาดใหญ่ที่จำเป็นสำหรับการปรับใช้อย่างแพร่หลาย
ความซับซ้อนของโปรโตคอลนี้นำไปสู่การหยุดทำงานที่เป็นที่สนใจอย่างมาก แพลตฟอร์มหลักอย่าง Slack ประสบกับการหยุดให้บริการเป็นเวลา 24 ชั่วโมงเนื่องจากการกำหนดค่า DNSSEC ผิดพลาด ซึ่งสร้างสิ่งที่ผู้เชี่ยวชาญในอุตสาหกรรมเรียกว่าเหตุการณ์ความรุนแรงระดับ 1 ที่สามารถคุกคามใบอนุญาตธุรกิจสำหรับบริษัทที่มีข้อตกลงระดับการให้บริการที่เข้มงวด
BGP (Border Gateway Protocol) hijacking เกี่ยวข้องกับผู้โจมตีที่เปลี่ยนเส้นทางการจราจรอินเทอร์เน็ตโดยการประกาศความเป็นเจ้าของที่อยู่ IP อย่างเท็จ ในขณะที่ DNS hijacking จัดการกับการแก้ไขชื่อโดเมนเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเซิร์ฟเวอร์ที่เป็นอันตราย
ตัวอย่างการป้องกันการโจมตี:
- การแฮ็ค BGP ปี 2018: มีการโจมตี Amazon Route53 ส่งผลให้เกิดการขโมยสกุลเงินดิจิทัลมูลค่า 152,000 ดอลลาร์สหรัฐ
- วิธีการโจมตี: การแฮ็ค BGP ร่วมกับการจัดการ DNS เพื่อขอใบรับรอง SSL ปลอม
- ผลกระทบของ DNSSEC: ในทางทฤษฎีจะสามารถป้องกันเส้นทางการโจมตีแบบนี้ได้
อัตราการยอมรับใช้งานเล่าเรื่องที่แตกต่าง
แม้จะมีการสนับสนุนมาหลายปี การยอมรับใช้งาน DNSSEC ยังคงอยู่ต่ำกว่า 4% ใน อเมริกาเหนือ เมื่อวัดจากโซน DNS ที่บ่งบอกมากกว่านั้นคือ บริษัทเทคโนโลยีหลักและสถาบันการเงินส่วนใหญ่หลีกเลี่ยงการนำไปใช้งาน การวิจัยแสดงให้เห็นว่าธนาคารหลักส่วนใหญ่ทั่วโลกไม่ได้ปรับใช้ DNSSEC ซึ่งบ่งบอกว่าองค์กรที่มีงบประมาณความปลอดภัยที่สำคัญไม่ได้ถือว่าเป็นลำดับความสำคัญ
บริษัทที่คุณกำลังดูหมิ่นว่าไม่จริงจังเกี่ยวกับความปลอดภัยโดยทั่วไป ใช้จ่ายเงินกับความปลอดภัยมากกว่าบริษัทที่นำมันไปใช้อย่างมาก
อัตราการยอมรับใช้งานที่ต่ำนี้เกิดขึ้นแม้ในขณะที่มาตรการความปลอดภัย DNS ทางเลือกอย่าง DNS-over-HTTPS (DoH) ได้รับการยอมรับอย่างแพร่หลาย ซึ่งบ่งบอกว่าตลาดได้พบโซลูชันอื่นที่ปฏิบัติได้มากกว่าในการนำไปใช้
สถิติการนำ DNSSEC มาใช้:
- การนำมาใช้ในทวีป North America : ต่ำกว่า 4% ของโซน DNS
- บริษัทใน Fortune 500 : การนำมาใช้น้อยมาก แม้จะมีงบประมาณด้านความปลอดภัยจำนวนมาก
- ธนาคารใหญ่ทั่วโลก: ส่วนใหญ่ยังไม่ได้นำ DNSSEC มาใช้
- แนวโน้ม: การนำมาใช้ลดลงในช่วงหลายปีที่ผ่านมาในบางภูมิภาค
ข้อจำกัดทางเทคนิคและโซลูชันทางเลือก
DNSSEC ทำงานเป็นโปรโตคอลเซิร์ฟเวอร์ต่อเซิร์ฟเวอร์ หมายความว่าเบราว์เซอร์ผู้ใช้ปลายทางไม่ได้ตรวจสอบลายเซ็นโดยตรง แต่เชื่อถือบิตเดียวในส่วนหัวของการตอบสนอง DNS แทน ข้อจำกัดในการออกแบบนี้ลดประสิทธิภาพเมื่อเปรียบเทียบกับโซลูชันการเข้ารหัสแบบปลายต่อปลาย นักวิจารณ์ยังสังเกตว่าการ hijacking โซน DNS ส่วนใหญ่เกิดขึ้นผ่านการยึดครองบัญชีที่ registrar มากกว่าการสกัดกั้นการจราจรในเส้นทางที่ DNSSEC พยายามจัดการ
ข้อกำหนดการลงนามแบบออฟไลน์ของโปรโตคอลและกลไกการปฏิเสธที่ได้รับการตรวจสอบความถูกต้องสร้างความซับซ้อนในการดำเนินงานที่หลายองค์กรพบว่าเป็นเรื่องยากที่จะจัดการอย่างปลอดภัย การตรวจสอบหลายมุมมองโดยผู้ออกใบรับรองและมาตรการความปลอดภัย registrar ที่ปรับปรุงแล้วอาจให้การป้องกันที่ปฏิบัติได้มากกว่าต่อการโจมตีที่ DNSSEC มุ่งหมายจะป้องกัน
เหตุการณ์ DNSSEC ล่มที่น่าสนใจ:
- Slack (2021): บริการหยุดชะงัก 24 ชั่วโมงเนื่องจากการกำหนดค่า DNSSEC ผิดพลาด
- เหตุการณ์หลายครั้ง: มีการบันทึกกรณีของแพลตฟอร์มใหญ่ๆ ที่ออฟไลน์เนื่องจากข้อผิดพลาดในการใช้งาน DNSSEC
- ปัจจัยเสี่ยง: การกำหนดค่าผิดพลาดสามารถสร้างเหตุการณ์ "ระดับความรุนแรง 1" ที่ส่งผลกระทบต่อการดำเนินธุรกิจ
เส้นทางไปข้างหน้า
ในขณะที่นักวิจัยด้านความปลอดภัยยอมรับว่า DNS ต้องการกลไกการป้องกันที่ดีกว่า หลายคนแนะนำว่าการออกแบบการเข้ารหัสยุค 1990 ของ DNSSEC อาจไม่ใช่โซลูชันที่เหมาะสมสำหรับอินเทอร์เน็ตในปัจจุบัน บางคนเสนอให้กลับไปที่กระดานวาดภาพเพื่อพัฒนาโปรโตคอลที่ปรับใช้ได้ง่ายกว่าอย่างถูกต้องและยากกว่าที่จะกำหนดค่าผิดพลาดอย่างร้ายแรง
การถกเถียงที่กำลังดำเนินอยู่สะท้อนถึงความท้าทายที่กว้างขึ้นในความปลอดภัยไซเบอร์: การสร้างสมดุลระหว่างการปรับปรุงความปลอดภัยในทางทฤษฎีกับความเสี่ยงและต้นทุนการนำไปใช้งานจริง ในขณะที่อินเทอร์เน็ตยังคงพัฒนาต่อไป คำถามยังคงอยู่ว่า DNSSEC จะหาจุดยืนของตัวเองหรือถูกแทนที่ด้วยทางเลือกที่เป็นมิตรกับผู้ใช้มากกว่าที่บรรลุเป้าหมายความปลอดภัยที่คล้ายกัน
อ้างอิง: Why do we need DNSSEC?