DNSSEC उस स्थान पर महत्वपूर्ण सुरक्षा जोड़ता है जहां इंटरनेट में वास्तव में कोई भी नहीं है। डोमेन नाम प्रणाली (DNS) अच्छी तरह से काम करती है, लेकिन प्रक्रिया में किसी भी बिंदु पर कोई सत्यापन नहीं है, जो हमलावरों के लिए छेद छोड़ देता है।
वर्तमान राज्य मामलों
हमने समझाया है कि अतीत में DNS कैसे काम करता है। संक्षेप में, जब भी आप "google.com" या "howtogeek.com" जैसे डोमेन नाम से कनेक्ट होते हैं, तो आपका कंप्यूटर इसके DNS सर्वर से संपर्क करता है और उस डोमेन नाम के लिए संबंधित आईपी पता देखता है। तब आपका कंप्यूटर उस आईपी पते से जुड़ता है।
महत्वपूर्ण बात यह है कि DNS लुकअप में कोई सत्यापन प्रक्रिया शामिल नहीं है। आपका कंप्यूटर किसी वेबसाइट से जुड़े पते के लिए अपने DNS सर्वर से पूछता है, DNS सर्वर आईपी पते के साथ प्रतिक्रिया करता है, और आपका कंप्यूटर "ठीक है!" कहता है और खुशी से उस वेबसाइट से जुड़ता है। आपका कंप्यूटर यह जांचना बंद नहीं करता है कि यह वैध प्रतिक्रिया है या नहीं।
एचटीटीपीएस एन्क्रिप्शन कुछ सत्यापन प्रदान करता है। उदाहरण के लिए, मान लें कि आप अपने बैंक की वेबसाइट से कनेक्ट करने का प्रयास करते हैं और आप अपने पता बार में HTTPS और लॉक आइकन देखते हैं। आप जानते हैं कि प्रमाणन प्राधिकरण ने सत्यापित किया है कि वेबसाइट आपके बैंक से संबंधित है।
आपके बैंक के पास यह कहने का कोई तरीका नहीं है "ये हमारी वेबसाइट के लिए वैध आईपी पते हैं।"
कैसे DNSSEC मदद करेगा
एक DNS लुकअप वास्तव में कई चरणों में होता है। उदाहरण के लिए, जब आपका कंप्यूटर www.howtogeek.com के लिए पूछता है, तो आपका कंप्यूटर कई चरणों में इस लुकअप को निष्पादित करता है:
- यह पहले "रूट जोन निर्देशिका" से पूछता है जहां यह मिल सकता है .com.
- यह तब.com निर्देशिका से पूछता है जहां यह मिल सकता है howtogeek.com.
- यह फिर howtogeek.com पूछता है जहां यह मिल सकता है www.howtogeek.com.
DNSSEC में "रूट पर हस्ताक्षर करना शामिल है।" जब आपका कंप्यूटर रूट ज़ोन से पूछता है जहां यह.com मिल सकता है, तो यह रूट ज़ोन की साइनिंग कुंजी जांचने में सक्षम होगा और पुष्टि करेगा कि यह वास्तविक जानकारी के साथ वैध रूट ज़ोन है। रूट ज़ोन तब हस्ताक्षर कुंजी या.com और उसके स्थान पर जानकारी प्रदान करेगा, जिससे आपके कंप्यूटर को.com निर्देशिका से संपर्क करने की अनुमति मिल जाएगी और यह सुनिश्चित होगा कि यह वैध है।.Com निर्देशिका howtogeek.com के लिए हस्ताक्षर कुंजी और जानकारी प्रदान करेगी, जिससे यह howtogeek.com से संपर्क कर सके और यह सत्यापित कर सके कि आप असली howtogeek.com से जुड़े हुए हैं, जैसा कि इसके ऊपर वाले क्षेत्रों द्वारा पुष्टि की गई है।
जब DNSSEC पूरी तरह से लुढ़का जाता है, तो आपका कंप्यूटर DNS प्रतिक्रियाओं की पुष्टि करने में सक्षम होगा, वैध और सत्य हैं, जबकि वर्तमान में यह जानने का कोई तरीका नहीं है कि कौन से नकली हैं और कौन सा वास्तविक हैं।
क्या सोपा हो गया होगा
तो स्टॉप ऑनलाइन चोरी अधिनियम, जिसे एसओपीए के नाम से जाना जाता है, इस सब में कैसे खेलता है? खैर, अगर आपने सोपा का पालन किया है, तो आप महसूस करते हैं कि यह उन लोगों द्वारा लिखा गया था जो इंटरनेट को नहीं समझते थे, इसलिए यह विभिन्न तरीकों से "इंटरनेट तोड़ देगा"। यह उनमें से एक है।
याद रखें कि DNSSEC डोमेन नाम मालिकों को उनके DNS रिकॉर्ड्स पर हस्ताक्षर करने की अनुमति देता है। इसलिए, उदाहरण के लिए, thepiratebay.se आईएन पते को निर्दिष्ट करने के लिए DNSSEC का उपयोग कर सकता है। जब आप कंप्यूटर एक DNS लुकअप करते हैं - चाहे वह google.com या thepiratebay.se के लिए है - DNSSEC कंप्यूटर को यह निर्धारित करने की अनुमति देगा कि उसे डोमेन नाम के मालिकों द्वारा सत्यापित सही प्रतिक्रिया प्राप्त हो रही है। DNSSEC सिर्फ एक प्रोटोकॉल है; यह "अच्छी" और "बुरी" वेबसाइटों के बीच भेदभाव करने की कोशिश नहीं करता है।
एसओपीए को "खराब" वेबसाइटों के लिए DNS लुकअप को पुनर्निर्देशित करने के लिए इंटरनेट सेवा प्रदाताओं की आवश्यकता होगी। उदाहरण के लिए, यदि एक इंटरनेट सेवा प्रदाता के ग्राहकों ने thepiratebay.se तक पहुंचने का प्रयास किया, तो आईएसपी के DNS सर्वर दूसरी वेबसाइट का पता वापस कर देंगे, जो उन्हें सूचित करेगा कि समुद्री डाकू बे को अवरुद्ध कर दिया गया था।
DNSSEC के साथ, इस तरह का एक पुनर्निर्देशन एक मैन-इन-द-बीच हमले से अलग नहीं होगा, जिसे DNSSEC को रोकने के लिए डिज़ाइन किया गया था। डीएनएसईसीसी को तैनात आईएसपी को समुद्री डाकू खाड़ी के वास्तविक पते के साथ जवाब देना होगा, और इस प्रकार एसओपीए का उल्लंघन होगा।एसओपीए को समायोजित करने के लिए, DNSSEC को इसमें एक बड़ा छेद काटना होगा, जो इंटरनेट सेवा प्रदाताओं और सरकारों को डोमेन नाम के मालिकों की अनुमति के बिना डोमेन नाम DNS अनुरोधों को पुनर्निर्देशित करने की अनुमति देगा। एक सुरक्षित तरीके से करना मुश्किल होगा (अगर असंभव नहीं है), हमलावरों के लिए नए सुरक्षा छेद खोलने की संभावना है।
सौभाग्य से, एसओपीए मर चुका है और उम्मीद है कि वह वापस नहीं आएगा। वर्तमान में DNSSEC तैनात किया जा रहा है, इस समस्या के लिए एक लंबे समय से तय फिक्स प्रदान करता है।