Обеспечение безопасности Web-проекта. Точка входа — домен
Домен — это точка входа пользователя или клиента в проект. Нет необходимости говорить о важности тех мероприятий, которые предотвращают кражу домена, его блокировку специальными службами, и т.д. и т.п. В этом материале будут рассматриваться вопросы не столько правового характера, сколько технического и организационного.
Регистраторы
Несколько лет назад регистратор GoDaddy из-за abuse приостановил работу одного из системных доменов ВКонтакте. В итоге часть пользователей социальной сети лишилась доступа к медиаконтенту. В 2015 году ”GoDaddy” и “101 домен” забанили аккаунты крымчан и выставили их домены на свободную регистрацию. И это только два самых громких случая среди десятков менее известных. Получается, что даже крупные регистраторы могут творить выкрутасы по политическим или иным мотивам, которые очевидны не для всех. И быть совсем ненадежными партнерами.
Как спастись? Вариантов не так много. Выбирать нужно обязательно аккредитованную и при этом адекватную компанию-регистратора доменных имен. С адекватными сервисом, адекватными реакциями на abuse, адекватным подходом к клиентам. И с адекватными ценниками.
Где таких найти? Это частное мнение, но в связи с непонятной ситуацией в мире домены есть смысл перенести под крыло регистраторов своей страны. Точнее, среди всех выбрать «своего».
Проверить адекватность компании сложно. Здесь может пригодиться личный опыт или опыт знакомых. Хотя, если разработать критерии и провести исследование… очень может быть. А вот сделать вывод о сервисе можно быстрее. Мы подготовили небольшой обзор, взяв за основу список регистраторов, которых в 2015 году рекомендовало Минкомсвязи российским владельцам доменов. Рассматриваемые у регистраторов услуги должны иметь прямое отношение к защите доменов.
Защита доменов
За последние пару десятилетий были выработаны правила и механизмы, затрудняющие кражу доменов. Например, для передачи домена в зоне RU и РФ большинство регистраторов ввели нотариальную форму удостоверения документов либо правило лично прийти в офис с заявлением. Полезной может быть возможность в случае необходимости заблокировать все операции по домену. И подобными возможностями нужно пользоваться!
Кроме этого, в принципе нет серьезных причин пускать посторонних в личный кабинет. Если владелец по каким-то причинам затрудняется самостоятельно указать NS-серверы домену и требуется помощь стороннего специалиста, желательно создать технический аккаунт с ограниченными возможностями. Или можно вынести управление DNS-зоной на отдельный сервис, например на DNS-хостинг Яндекса.
Неправильно настроенная зона, понятное дело, тоже несет неприятности проекту, и к ее настройке нельзя допускать кого попало, но это уже отдельная песня и, наверное, отдельный материал.
Итак, какие услуги по защите доменов есть у российских регистраторов?
Список от Минкомсвязи пришлось значительно причесать. Во-первых, удивило наличие в нём компании «101 домен». В техподдержке этого регистратора на наш запрос ответили прямо: если для Whois будут указаны физический или юридический адрес в Крыму, то последует отказ в регистрации.
Во-вторых, в списке обнаружились изменения и несоответствия. Там оказались компании, предлагающие регистрацию только в национальных зонах .RU и .РФ, а также несколько реселлеров от REG.RU. Кроме этого, на текущий момент компании Agava и REG.RU объединили свои усилия в регистрации доменов, а Reggi, R01 и Ru-Center входят в RU-CENTER Group.
В конечном итоге остается упомянуть только те несколько компаний, которые:
- предоставляют действующие услуги, прямо связанные с защитой доменов;
- действуют в различных зонах, а не только в .RU и .РФ;
- предоставляют данные о соответствующих услугах на официальном сайте или исчерпывающую информацию по запросу.
Эти сведения не являются рекламой. Кроме того, делать окончательные выводы о полезности, бесполезности или вредности подобных услуг только вам.
Список компаний, скорее всего, неполный. Во всяком случае некоторые регистраторы, не имеющие, к примеру, действующей услуги создания технического аккаунта, дали ответ, что рассматривают возможность по желанию клиента предоставить необходимые функции. Вполне вероятно, у крупных регистраторов типа «ВымпелКом» или «Имена Интернет» необходимый функционал тоже имеется, просто они об этом не сообщили. Просьба к регистраторам, отвечающим вышеуказанным условиям, дать ссылки на страницу официального сайта с описанием услуг. В этом случае справедливости ради таблица будет дополнена.
Простые вещи
Что объединяет такие компании, как Microsoft и Dell, или издательский дом «Коммерсантъ» и газету Washington Post? Они не продлевали свои домены! И в некоторых случаях эти домены теряли.
Буквально в 2017 году не был продлен один из технических доменов компании Dell, ранее использующийся в облачном сервисе резервного копирования данных. Домен был закономерно перехвачен киберсквоттером и в дальнейшем «проявлял странную активность»”, пока не был возвращен предыдущему владельцу. Естественно, эта ситуация не могла не сказаться на репутации компании.
Другая, гораздо более распространенная категория случаев, которая имеет прямое отношение к работе сайта и периодически затрагивает и мелкие и очень солидные WEB-проекты, — вовремя не продленный SSL-сертификат для домена. В результате — простой, который грозит потерей трафика, клиентов и репутации.
Действия, которые необходимо предпринять, чтобы избежать подобных скользких ситуаций, кажутся простыми и понятными:
- имей дело с вменяемыми компаниями-регистраторами и продавцами сертификатов;
- поддерживай в актуальном состоянии свои контактные данные;
- получай вовремя на почту напоминание о необходимости продления;
- продлевай.
На деле же..
Иногда для домена указывается контактный адрес почты, относящийся к этому же домену. В случае любых неприятностей, когда домен уже разделегирован регистратором, но ещё не выставлен на свободную регистрацию, восстановить контроль над ним становится сложной задачей.
Но наиболее распространенная проблема заключается в том, что владелец по каким-то причинам не получает напоминание о необходимости продления домена или сертификата. Поэтому в своей компании мы настроили автоматическую проверку и напоминание для владельца о необходимости вовремя все продлить. А если он забывает или не успевает, его «достанет» ответственный сисадмин, который тоже эти напоминания получает.
Итого
Что важно не забыть сделать!
- Регистрировать домены либо перенести их к аккредитованному ICANN адекватному российскому регистратору. Или самому стать аккредитованной компанией и регистрировать у себя для себя домены, как это сделала компания «ВымпелКом». Так тоже можно.
- Указывать, а затем поддерживать точность и актуальность регистрационных записей. Не указывать почту в том же домене.
- Само собой разумеющееся, обеспечить безопасность хранения и возможность восстановления паролей учетной записи.
- В личном кабинете регистратора (если возможно) запретить операции с доменом до особого распоряжения.
- Там же создать дополнительный (технический) аккаунт, возможности которого должны быть ограничены по сравнению с основным аккаунтом.
- Можно вынести управление DNS-зоной на сторонний сервис.
- Вовремя продлевать регистрацию доменов и SSL-сертификаты. Добиться заблаговременного получения информации о наступающих сроках продления.
- В крайнем случае найти компетентного и ответственного специалиста или компанию, которые сделают всё вышеперечисленное.
И общая рекомендация. Все критически важное, связанное с доменами и проектами вообще, что владелец может сделать самостоятельно, лучше делать самостоятельно. И самостоятельно нести за это ответственность. А если владелец необходимыми знаниями не обладает, конечно же, лучше пригласить надежных специалистов. Так точно будет безопаснее.
Проверьте себя. Или поделитесь собственным видением — возможно, ваш список отличается.
