Доменное имя: 5 правил безопасности при покупке
Три часа ночи, телефон вибрирует на столе. Прод лежит. Открываю мониторинг — DNS-зона пустая, A-запись смотрит в никуда. Кто-то увел домен. Бэкапов DNS нет. Поднимать — сутки минимум, бизнес теряет заказы, клиенты в Telegram-чате матерятся. Знакомо? Нет?

Выбор регистратора: почему аккредитация ICANN — это фундамент безопасности
Первое, что делает новичок — гуглит «купить домен дешево» и идёт по первой рекламной ссылке. Поздравляю, вы только что сыграли в рулетку с управляемостью своего бизнеса. Регистратор — это компания, которой вы доверяете критический актив. Тут экономия в двести рублей оборачивается потерей всего. Аккредитация ICANN — это не маркетинговая нашлёпка и не «значок качества» для лендинга. Это обязательство регистратора соблюдать международные правила управления доменными именами, включая Transfer Policy, требования к WHOIS и процедуры восстановления доступа. Регистратор без аккредитации ICANN живёт в серой зоне: технически домен он вам выдаст, но при споре у вас не будет юридических рычагов. Доменное имя в такой конторе — как пароль, записанный на стикере и приклеенный к монитору в опенспейсе. Работает, пока никто не присмотрелся.
Смотрите на конкретику: у аккредитованного регистратора в публичном доступе есть данные об аккредитации, прозрачные правила трансфера, нормальная двухфакторная аутентификация и живой саппорт, который отвечает по существу, а не отписками из шаблона. Проверить список аккредитованных регистраторов можно напрямую на сайте ICANN — там публичный реестр. Если ваш кандидат в этом реестре не светится — ищите дальше. Доменное имя, купленное у ноунейм-реселлера, через год может превратиться в тыкву: реселлер закрылся, домен завис, поддержка не отвечает. Таких кейсов в индустрии — вагон и маленькая тележка.
Дешёвый регистратор без аккредитации ICANN — это костыль, который однажды сломается под нагрузкой. Желательно — не на проде.
Техническая защита аккаунта: роль 2FA и требования к сложности пароля
Допустим, регистратора вы выбрали правильного. Дальше начинается веселье — настройка аккаунта, через который вы будете управлять доменным именем. И вот тут разработчики часто косячат так, что хочется плакать. Логин — email, пароль — qwe123 или что-нибудь из серии Password1!, 2FA отключена, потому что «неудобно, телефон каждый раз доставать». Уважаемые, вы только что построили замок с двумя стенами и дверью из картона. Угон доменного имени в 90% случаев начинается не с волшебного эксплойта на стороне регистратора, а со взлома вашего аккаунта. Брутфорс, фишинг, утёкшая база с другого сервиса, где вы использовали тот же пароль — векторов масса, и все они ведут к одному результату: злоумышленник получает доступ к панели управления доменом.
Двухфакторная аутентификация — это не опция, это обязательный уровень защиты. TOTP через приложение (Google Authenticator, Aegis, Authy) надёжнее SMS: SMS перехватываются через SIM-swap, а TOTP генерируется локально на устройстве. Если регистратор поддерживает аппаратные ключи U2F/FIDO2 (YubiKey, SoloKey) — это вообще идеальный вариант, потому что ключ физически невозможно скопировать удалённо. Проверьте, поддерживает ли ваш регистратор U2F. Если нет — TOTP обязателен, SMS — только если вообще ничего другого нет.
Пароль — отдельная боль. Минимум 12–16 символов, и это не потолок, а пол. Без словарных слов, без дат рождения, без имени кота. Менеджер паролей (Bitwarden, KeePass, 1Password) генерирует и хранит пароли за вас, не надо ничего запоминать. Доменное имя для сайта стоит на порядок дороже, чем подписка на менеджер паролей — арифметика простая. И ещё: не используйте один и тот же пароль на email и на аккаунт регистратора. Если угонят почту — угонят и домен, причём штатными средствами «восстановления доступа».
Управление доступом: как функция Registrar Lock предотвращает несанкционированный перенос
Registrar Lock — штука, о которой знают полтора человека из десяти, и это позор индустрии. По умолчанию у большинства аккредитованных регистраторов эта блокировка включена, но её можно снять, и некоторые «оптимизаторы» снимают её заранее «для удобства», а потом забывают включить обратно. Registrar Lock запрещает перенос доменного имени к другому регистратору без явного подтверждения владельца. То есть даже если злоумышленник получил доступ к вашему аккаунту, сменить регистратора он не сможет, пока не разблокирует домен. Дополнительный барьер — секунды, минуты, иногда часы, в течение которых вы успеете среагировать.
Registrar Lock — это не страховка от всего, но это та самая дверь, которая заставляет вора шуметь, пока вы спите.
Что делать на практике. Сразу после покупки доменного имени заходите в панель и проверяете статус Lock — должно быть locked или clientTransferProhibited. Если видите unlocked — включаете немедленно и больше не трогаете без необходимости. Когда реально понадобится трансфер (например, решили сменить регистратора) — снимаете блокировку точечно, проводите перенос, возвращаете Lock обратно. И да, у трансфера есть стандартный срок: после инициирования переноса домен блокируется на 60 дней — это требование Transfer Policy ICANN, чтобы у владельца было время отменить несанкционированный перенос, если он его не инициировал. Используйте это окно. Если вам пришло письмо о начале трансфера, который вы не запускали — это красный флаг, и нужно бить во все колокола немедленно.
Приватность данных: зачем нужна защита WHOIS и что она скрывает на самом деле
WHOIS — публичная база, где видно, кому принадлежит доменное имя. Без защиты туда утекает ваш email, телефон, иногда адрес. Это не просто «спам будет летать» — это готовый набор данных для социальной инженерии и целевого фишинга. Регистратор при покупке домена обычно предлагает услугу WHOIS Privacy (у разных компаний называется по-разному: Privacy Protection, WhoisGuard, Domains By Proxy и т.д.) — это сервис, который подставляет в публичную запись контакты прокси-сервиса регистратора вместо ваших реальных данных. Спам-боты идут лесом, целевой фишинг становится заметно сложнее.
Но тут важно понимать, что именно скрывается. Защита WHOIS скрывает ваши данные от публичного поиска. Она не делает доменное имя анонимным — регистратор и правоохранительные органы сохраняют доступ к реальным данным владельца через закрытые каналы. Это не баг, это фича: при легитимном запросе данные раскрываются, и это правильно. Не надо верить маркетинговым заявлениям в духе «полная анонимность вашего домена» — так не бывает. Что WHOIS Privacy реально даёт — снижение шумовой нагрузки и защиту от массового сбора контактов автоматизированными сканерами. Этого достаточно.
Проверьте после покупки, что услуга активирована: в WHOIS по вашему домену в поле Registrant должны быть либо данные прокси, либо пометка о приватности. Если видите свои реальные контакты — включайте защиту немедленно. Дополнительно стоит проверить, не светится ли ваш email в истории записей — некоторые регистраторы оставляют в публичном доступе старые данные даже после включения приватности. Если такое обнаружилось — пишите в саппорт с требованием очистить историю.
Риски социальной инженерии и политика передачи доменов согласно стандартам ICANN
Технические меры — это полдела. Вторая половина, которую часто упускают, — люди. Социальная инженерия остаётся рабочим вектором атаки, потому что самый устойчивый пароль и идеальный 2FA бессильны против звонка «от техподдержки регистратора» с просьбой продиктовать код из SMS. Никакая техническая защита доменного имени не блокирует ситуацию, когда владелец сам отдаёт злоумышленнику всё необходимое. Это надо понимать и относиться к любому контакту по поводу вашего домена с разумной паранойей.
Стандарты ICANN задают правила игры, в которых у вас есть юридические инструменты защиты. Transfer Policy 2016 года закрепила процедуры, которые дают владельцу право отменить несанкционированный перенос в течение 60-дневного окна, требует явного подтверждения трансфера (через email или специальный код — AuthInfo/EPP code) и устанавливает ответственность регистратора за корректность процедуры. Это значит, что при попытке угона у вас есть формальный механизм оспорить трансфер и вернуть доменное имя. Но работает он только если регистратор аккредитован ICANN и соблюдает эти правила — к выбору регистратора мы уже вернулись, всё связано.
Социнженерия — единственный вектор, против которого бессильны Registrar Lock, 2FA и сложный пароль. Лечится только головой на плечах.
Что делать на практике:
- Любой звонок или письмо «от регистратора» — проверять через официальный канал. Получили письмо о трансфере — открываете панель самостоятельно, не по ссылке из письма. Звоните в саппорт по номеру с официального сайта. Не по номеру из письма.
- AuthInfo-код (EPP-код) для трансфера никогда не отдаётся никому, даже «саппорту». Сотрудники регистратора не запрашивают этот код — у них нет в нём необходимости.
- Доступ к панели управления доменом — минимум людей. Не надо давать доступ маркетологу, который «просто обновит DNS-записи». Маркетолог пусть пишет в Jira, а DNS меняет дежурный инженер. Меньше людей с доступом — меньше точек компрометации.
- Email, привязанный к аккаунту регистратора, должен быть на отдельном домене с собственным 2FA. Не на публичном сервисе без защиты.
Сводная таблица: что включить сразу после покупки доменного имени
| Мера | Где настраивается | Эффект | Если проигнорировать |
|---|---|---|---|
| Аккредитация ICANN у регистратора | Проверяется до покупки | Юридическая защита и соблюдение Transfer Policy | Спорные ситуации без рычагов, риск потери домена |
| 2FA (TOTP или U2F) | Настройки безопасности аккаунта | Защита от взлома через утёкший пароль | Брутфорс и фишинг дают полный доступ |
| Сложный пароль 12–16+ символов | Менеджер паролей + панель регистратора | Защита от брутфорса и credential stuffing | Подбор пароля по словарю, угон за минуты |
| Registrar Lock | Управление доменом в панели | Блокировка несанкционированного трансфера | Домен уходит к другому регистратору без сопротивления |
| WHOIS Privacy | Услуга регистратора при покупке/в настройках | Скрытие контактов от публичного сбора | Спам, целевой фишинг, утечка персональных данных |
Финал
Защита доменного имени — это не набор галочек в чек-листе, а дисциплина. Аккредитованный регистратор, 2FA, нормальный пароль в менеджере, включённый Registrar Lock, активированная WHOIS Privacy и нулевая толерантность к социнженерии. Пять правил, каждое из которых снимает конкретный вектор атаки. Не снимайте ни одно. Не делайте «потом, когда будет время» — времени потом не будет, будет ночной звонок и лежащий прод. Доменное имя — это актив уровня инфраструктуры, относитесь к нему соответственно. И да, бэкапы DNS-зоны — отдельным скриптом, чтобы в случае чего восстановить записи за минуты, а не за сутки. Костыли в проде не лечат — лечат системные меры, принятые до инцидента.