Вопрос или проблема
Когда я отлаживал что-то, я заметил, что ни один из доменов продуктов Google (google.com, gmail.com, googleapis.com, gstatic.com…) не имеет подписей DNSSEC.
Похоже, что Google предлагает неофициальные записи MX с подписью DNSSEC для своих клиентов Google Workspace на домене smtp.goog, но они не задокументированы и официально не поддерживаются.
Меня это несколько удивляет, так как они, вероятно, обрабатывают миллиарды DNS-запросов каждый день и подвержены многим атакам, связанным с DNS.
Есть ли причина не внедрять DNSSEC в таком масштабе?
Ответ или решение
Несмотря на то, что Google, как одна из крупнейших и наиболее влиятельных компаний в мире, обрабатывает миллиарды DNS-запросов каждый день, отсутствие DNSSEC (Domain Name System Security Extensions) для их доменов является довольно распространённой темой обсуждения среди экспертов в области интернет-безопасности.
Есть несколько причин, по которым Google может не внедрять DNSSEC для своих основных доменов:
-
Оценка рисков: Google, вероятно, провела глубокий анализ рисков и пришла к выводу, что существующая инфраструктура и механизмы защиты, которые они применяют, достаточно сильны для предотвращения DNS-атак. Учитывая их размер, Google, скорее всего, имеет возможность обнаруживать и предотвращать атаки на более высоком уровне, чем многие другие организации.
-
Работа с кэшем: Google активно использует системы кэширования и свои собственные DNS-резолверы, что может снизить риск атак на уровне DNS. Это позволяет им контролировать многие аспекты DNS без необходимости внедрять DNSSEC на всех доменах.
-
Сложности с внедрением: Внедрение DNSSEC может представлять собой сложную задачу, особенно для огромного количества доменов и сервисов. Требуется согласование между всеми участниками цепочки, а также адаптация существующих систем. Это может создать дополнительные сложности для управления и повышения вероятности ошибок.
-
Неясные преимущества: Некоторые эксперты выражают мнение, что преимущества DNSSEC для крупных компаний, таких как Google, могут не оправдывать усилия при внедрении данной технологии. Возможно, Google считает, что им достаточно других механизмов безопасности, таких как HTTPS и другие способы шифрования и аутентификации.
-
Наличие альтернатив: Как вы правильно заметили, Google предоставляет DNSSEC-поддержку для домена smtp.goog, что позволяет некоторым клиентам использовать её в своих системах. Это может свидетельствовать о том, что компания учитывает потребности определённых клиентов, не беспокоясь о необходимости применять DNSSEC для всех своих доменов.
-
Коммерческие соображения: Внедрение новых технологий иногда зависит от коммерческих интересов. Google может считать, что время и ресурсы, потраченные на внедрение DNSSEC, лучше использовать для развития других проектов или технологий, которые могут принести больше пользы или прибыли.
В итоге, несмотря на впечатляющую безопасность, существующую в экосистеме Google, отсутствие DNSSEC для их основных доменов остается под вопросом. Это решение связано с комплексным анализом рисков, экономическими факторами и внутренними стратегиями компании.