Код, интерфейсы и трафик без воды
lawebbox
Серверы и безопасность

Доменное имя: 5 правил безопасности при покупке

Три часа ночи, телефон вибрирует на столе. Прод лежит. Открываю мониторинг — DNS-зона пустая, A-запись смотрит в никуда. Кто-то увел домен. Бэкапов DNS нет. Поднимать — сутки минимум, бизнес теряет заказы, клиенты в Telegram-чате матерятся. Знакомо? Нет?

Доменное имя: 5 правил безопасности при покупке

Выбор регистратора: почему аккредитация ICANN — это фундамент безопасности

Первое, что делает новичок — гуглит «купить домен дешево» и идёт по первой рекламной ссылке. Поздравляю, вы только что сыграли в рулетку с управляемостью своего бизнеса. Регистратор — это компания, которой вы доверяете критический актив. Тут экономия в двести рублей оборачивается потерей всего. Аккредитация ICANN — это не маркетинговая нашлёпка и не «значок качества» для лендинга. Это обязательство регистратора соблюдать международные правила управления доменными именами, включая Transfer Policy, требования к WHOIS и процедуры восстановления доступа. Регистратор без аккредитации ICANN живёт в серой зоне: технически домен он вам выдаст, но при споре у вас не будет юридических рычагов. Доменное имя в такой конторе — как пароль, записанный на стикере и приклеенный к монитору в опенспейсе. Работает, пока никто не присмотрелся.

Смотрите на конкретику: у аккредитованного регистратора в публичном доступе есть данные об аккредитации, прозрачные правила трансфера, нормальная двухфакторная аутентификация и живой саппорт, который отвечает по существу, а не отписками из шаблона. Проверить список аккредитованных регистраторов можно напрямую на сайте ICANN — там публичный реестр. Если ваш кандидат в этом реестре не светится — ищите дальше. Доменное имя, купленное у ноунейм-реселлера, через год может превратиться в тыкву: реселлер закрылся, домен завис, поддержка не отвечает. Таких кейсов в индустрии — вагон и маленькая тележка.

Дешёвый регистратор без аккредитации ICANN — это костыль, который однажды сломается под нагрузкой. Желательно — не на проде.

Техническая защита аккаунта: роль 2FA и требования к сложности пароля

Допустим, регистратора вы выбрали правильного. Дальше начинается веселье — настройка аккаунта, через который вы будете управлять доменным именем. И вот тут разработчики часто косячат так, что хочется плакать. Логин — email, пароль — qwe123 или что-нибудь из серии Password1!, 2FA отключена, потому что «неудобно, телефон каждый раз доставать». Уважаемые, вы только что построили замок с двумя стенами и дверью из картона. Угон доменного имени в 90% случаев начинается не с волшебного эксплойта на стороне регистратора, а со взлома вашего аккаунта. Брутфорс, фишинг, утёкшая база с другого сервиса, где вы использовали тот же пароль — векторов масса, и все они ведут к одному результату: злоумышленник получает доступ к панели управления доменом.

Двухфакторная аутентификация — это не опция, это обязательный уровень защиты. TOTP через приложение (Google Authenticator, Aegis, Authy) надёжнее SMS: SMS перехватываются через SIM-swap, а TOTP генерируется локально на устройстве. Если регистратор поддерживает аппаратные ключи U2F/FIDO2 (YubiKey, SoloKey) — это вообще идеальный вариант, потому что ключ физически невозможно скопировать удалённо. Проверьте, поддерживает ли ваш регистратор U2F. Если нет — TOTP обязателен, SMS — только если вообще ничего другого нет.

Пароль — отдельная боль. Минимум 12–16 символов, и это не потолок, а пол. Без словарных слов, без дат рождения, без имени кота. Менеджер паролей (Bitwarden, KeePass, 1Password) генерирует и хранит пароли за вас, не надо ничего запоминать. Доменное имя для сайта стоит на порядок дороже, чем подписка на менеджер паролей — арифметика простая. И ещё: не используйте один и тот же пароль на email и на аккаунт регистратора. Если угонят почту — угонят и домен, причём штатными средствами «восстановления доступа».

Управление доступом: как функция Registrar Lock предотвращает несанкционированный перенос

Registrar Lock — штука, о которой знают полтора человека из десяти, и это позор индустрии. По умолчанию у большинства аккредитованных регистраторов эта блокировка включена, но её можно снять, и некоторые «оптимизаторы» снимают её заранее «для удобства», а потом забывают включить обратно. Registrar Lock запрещает перенос доменного имени к другому регистратору без явного подтверждения владельца. То есть даже если злоумышленник получил доступ к вашему аккаунту, сменить регистратора он не сможет, пока не разблокирует домен. Дополнительный барьер — секунды, минуты, иногда часы, в течение которых вы успеете среагировать.

Registrar Lock — это не страховка от всего, но это та самая дверь, которая заставляет вора шуметь, пока вы спите.

Что делать на практике. Сразу после покупки доменного имени заходите в панель и проверяете статус Lock — должно быть locked или clientTransferProhibited. Если видите unlocked — включаете немедленно и больше не трогаете без необходимости. Когда реально понадобится трансфер (например, решили сменить регистратора) — снимаете блокировку точечно, проводите перенос, возвращаете Lock обратно. И да, у трансфера есть стандартный срок: после инициирования переноса домен блокируется на 60 дней — это требование Transfer Policy ICANN, чтобы у владельца было время отменить несанкционированный перенос, если он его не инициировал. Используйте это окно. Если вам пришло письмо о начале трансфера, который вы не запускали — это красный флаг, и нужно бить во все колокола немедленно.

Приватность данных: зачем нужна защита WHOIS и что она скрывает на самом деле

WHOIS — публичная база, где видно, кому принадлежит доменное имя. Без защиты туда утекает ваш email, телефон, иногда адрес. Это не просто «спам будет летать» — это готовый набор данных для социальной инженерии и целевого фишинга. Регистратор при покупке домена обычно предлагает услугу WHOIS Privacy (у разных компаний называется по-разному: Privacy Protection, WhoisGuard, Domains By Proxy и т.д.) — это сервис, который подставляет в публичную запись контакты прокси-сервиса регистратора вместо ваших реальных данных. Спам-боты идут лесом, целевой фишинг становится заметно сложнее.

Но тут важно понимать, что именно скрывается. Защита WHOIS скрывает ваши данные от публичного поиска. Она не делает доменное имя анонимным — регистратор и правоохранительные органы сохраняют доступ к реальным данным владельца через закрытые каналы. Это не баг, это фича: при легитимном запросе данные раскрываются, и это правильно. Не надо верить маркетинговым заявлениям в духе «полная анонимность вашего домена» — так не бывает. Что WHOIS Privacy реально даёт — снижение шумовой нагрузки и защиту от массового сбора контактов автоматизированными сканерами. Этого достаточно.

Проверьте после покупки, что услуга активирована: в WHOIS по вашему домену в поле Registrant должны быть либо данные прокси, либо пометка о приватности. Если видите свои реальные контакты — включайте защиту немедленно. Дополнительно стоит проверить, не светится ли ваш email в истории записей — некоторые регистраторы оставляют в публичном доступе старые данные даже после включения приватности. Если такое обнаружилось — пишите в саппорт с требованием очистить историю.

Риски социальной инженерии и политика передачи доменов согласно стандартам ICANN

Технические меры — это полдела. Вторая половина, которую часто упускают, — люди. Социальная инженерия остаётся рабочим вектором атаки, потому что самый устойчивый пароль и идеальный 2FA бессильны против звонка «от техподдержки регистратора» с просьбой продиктовать код из SMS. Никакая техническая защита доменного имени не блокирует ситуацию, когда владелец сам отдаёт злоумышленнику всё необходимое. Это надо понимать и относиться к любому контакту по поводу вашего домена с разумной паранойей.

Стандарты ICANN задают правила игры, в которых у вас есть юридические инструменты защиты. Transfer Policy 2016 года закрепила процедуры, которые дают владельцу право отменить несанкционированный перенос в течение 60-дневного окна, требует явного подтверждения трансфера (через email или специальный код — AuthInfo/EPP code) и устанавливает ответственность регистратора за корректность процедуры. Это значит, что при попытке угона у вас есть формальный механизм оспорить трансфер и вернуть доменное имя. Но работает он только если регистратор аккредитован ICANN и соблюдает эти правила — к выбору регистратора мы уже вернулись, всё связано.

Социнженерия — единственный вектор, против которого бессильны Registrar Lock, 2FA и сложный пароль. Лечится только головой на плечах.

Что делать на практике:

  • Любой звонок или письмо «от регистратора» — проверять через официальный канал. Получили письмо о трансфере — открываете панель самостоятельно, не по ссылке из письма. Звоните в саппорт по номеру с официального сайта. Не по номеру из письма.
  • AuthInfo-код (EPP-код) для трансфера никогда не отдаётся никому, даже «саппорту». Сотрудники регистратора не запрашивают этот код — у них нет в нём необходимости.
  • Доступ к панели управления доменом — минимум людей. Не надо давать доступ маркетологу, который «просто обновит DNS-записи». Маркетолог пусть пишет в Jira, а DNS меняет дежурный инженер. Меньше людей с доступом — меньше точек компрометации.
  • Email, привязанный к аккаунту регистратора, должен быть на отдельном домене с собственным 2FA. Не на публичном сервисе без защиты.

Сводная таблица: что включить сразу после покупки доменного имени

МераГде настраиваетсяЭффектЕсли проигнорировать
Аккредитация ICANN у регистратораПроверяется до покупкиЮридическая защита и соблюдение Transfer PolicyСпорные ситуации без рычагов, риск потери домена
2FA (TOTP или U2F)Настройки безопасности аккаунтаЗащита от взлома через утёкший парольБрутфорс и фишинг дают полный доступ
Сложный пароль 12–16+ символовМенеджер паролей + панель регистратораЗащита от брутфорса и credential stuffingПодбор пароля по словарю, угон за минуты
Registrar LockУправление доменом в панелиБлокировка несанкционированного трансфераДомен уходит к другому регистратору без сопротивления
WHOIS PrivacyУслуга регистратора при покупке/в настройкахСкрытие контактов от публичного сбораСпам, целевой фишинг, утечка персональных данных

Финал

Защита доменного имени — это не набор галочек в чек-листе, а дисциплина. Аккредитованный регистратор, 2FA, нормальный пароль в менеджере, включённый Registrar Lock, активированная WHOIS Privacy и нулевая толерантность к социнженерии. Пять правил, каждое из которых снимает конкретный вектор атаки. Не снимайте ни одно. Не делайте «потом, когда будет время» — времени потом не будет, будет ночной звонок и лежащий прод. Доменное имя — это актив уровня инфраструктуры, относитесь к нему соответственно. И да, бэкапы DNS-зоны — отдельным скриптом, чтобы в случае чего восстановить записи за минуты, а не за сутки. Костыли в проде не лечат — лечат системные меры, принятые до инцидента.

Частые вопросы

Почему важно выбирать регистратора с аккредитацией ICANN?
Аккредитация обязывает компанию соблюдать международные правила управления доменами, включая процедуры восстановления доступа и Transfer Policy, что дает вам юридические рычаги при возникновении споров.
Что такое Registrar Lock и зачем он нужен?
Это блокировка, которая запрещает перенос доменного имени к другому регистратору без вашего явного подтверждения, защищая актив даже в случае взлома аккаунта.
Зачем нужна услуга WHOIS Privacy?
Она скрывает ваши реальные контактные данные в публичной базе WHOIS, заменяя их на контакты прокси-сервиса, что защищает от спама и сбора данных для социальной инженерии.
Какой метод двухфакторной аутентификации самый надежный?
Наиболее надежными являются аппаратные ключи U2F/FIDO2, так как их невозможно скопировать удаленно. Также эффективны TOTP-приложения, в то время как SMS-коды считаются менее безопасными из-за риска SIM-swap.
Что делать, если пришло письмо о начале трансфера домена, который я не инициировал?
Это красный флаг, требующий немедленных действий. Необходимо срочно проверить статус домена в панели управления и связаться с официальной поддержкой регистратора через проверенные каналы связи.