Доменное имя — один из самых ценных цифровых активов любого бизнеса, и его потеря или кража может привести к большим финансовым убыткам и потере репутации. Случаи hijacking происходят тысячи раз в год, и в большинстве случаев домен оказывается недостаточно защищён. Domain Lock — это механизм, созданный именно для предотвращения этой угрозы, он блокирует любые важные изменения, связанные с доменом, и снимается только с разрешения владельца.
Registrar Lock и принцип его работы
Registrar Lock — самый базовый и распространённый тип защиты, устанавливаемый регистратором. При включённом lock невозможно перенести домен к другому регистратору, изменить серверы имён или обновить контактные данные. Даже если злоумышленник получит доступ к вашему аккаунту, без снятия lock он не сможет сделать ни одного важного изменения.
Эта услуга обычно доступна у всех регистраторов и большинство предлагает её бесплатно. Включение и выключение lock производится только из аккаунта владельца домена и часто требует дополнительного подтверждения. Этот простой, но эффективный подход предотвращает более 90 процентов попыток hijacking.
EPP Lock и его особенности
EPP (Extensible Provisioning Protocol) Lock — ещё один уровень защиты, который устанавливается на уровне реестра доменных имён. Этот lock сильнее Registrar Lock, поскольку снять его можно только через специальное подтверждение между владельцем и реестром. При EPP Lock на домен ставятся специальные статусы, такие как serverTransferProhibited, serverUpdateProhibited и serverDeleteProhibited.
Эта более сильная защита обычно используется крупными компаниями и для дорогих доменов. При активном EPP Lock даже сбой во внутренней системе регистратора не поставит домен под угрозу важных изменений. Услуга часто требует дополнительной оплаты, но для дорогих доменов это оправданные расходы.
Как происходит domain hijacking
Кража домена может выполняться разными способами, и самый распространённый — фишинг, через который у владельца крадут учётные данные регистратора. Злоумышленник отправляет поддельное письмо, заставляет пользователя залогиниться и крадёт пароль. Затем заходит в аккаунт, меняет контактные данные и серверы имён.
Другой способ — атака на электронную почту регистратора или владельца. Если почтовый аккаунт скомпрометирован, атакующий может зайти в регистратора через сброс пароля. Поэтому двухфакторная аутентификация (2FA) и отдельная защищённая почта необходимы для защиты домена и должны работать вместе с Domain Lock.
Когда нужно снимать Lock
Временное снятие Domain Lock нужно только в определённых случаях: при трансфере к новому регистратору, серьёзном изменении контактных данных или существенном обновлении серверов имён. В это время нужно помнить, что домен в первую очередь уязвим, и сразу после завершения работы lock следует восстановить.
В процессе трансфера при снятом lock также генерируется EPP code (код авторизации трансфера). Этот код действует 7-10 дней и выдаётся только настоящему владельцу домена. После снятия lock и получения EPP code действовать нужно быстро, поскольку долгое нахождение без защиты опасно.
Sayt.uz практика
На всех доменах, зарегистрированных через Sayt.uz, Registrar Lock включён по умолчанию и предоставляется без дополнительной оплаты. EPP Lock входит в премиум-пакет защиты за 145 000 сумов в год и рекомендуется в первую очередь крупным компаниям и e-commerce платформам. За прошлый год было зафиксировано 31 попытка hijacking и во всех случаях Domain Lock успешно их заблокировал. 94 процента клиентов используют lock вместе с 2FA, что даёт лучшие результаты по безопасности. Владельцы премиум-пакета также получают дополнительное страхование — защиту от кражи домена на сумму до 50 миллионов сумов.