Wstęp
Większość właścicieli firm traktuje DNS jak trybik w machinie – ma działać, a jeśli działa, to po co zawracać sobie głowę. Problem w tym, że źle skonfigurowany DNS potrafi zdemolować wydajność strony, obniżyć pozycje w Google i narazić firmę na cyberataki – i to zupełnie po cichu. Pracując z klientami, widziałem wielokrotnie, jak pozornie drobne błędy DNS-owe kosztowały ich setki tysięcy złotych utraconych przychodów. W tym artykule pokażę trzy najczęstsze pułapki, które sami zastawiamy na swoje biznesy, i podpowiem, jak je ominąć.
1. Zbyt długi TTL – czyli jak DNS spowalnia Twoją stronę na zapas
TTL (Time To Live) to czas życia rekordu DNS w pamięci podręcznej. Brzmi technicznie, ale konsekwencje są bardzo biznesowe.
Domyślne ustawienia to pułapka
Większość dostawców DNS ustawia domyślny TTL na 24 godziny. To bezpieczne dla stabilności, ale zabójcze, gdy trzeba szybko zmienić adres IP serwera – na przykład podczas migracji lub ataku DDoS. Przez całą dobę część użytkowników będzie trafiać na starą, niedziałającą infrastrukturę. Stracone wizyty, stracone konwersje, stracone pieniądze.
Jak to zrobić dobrze?
Dla krytycznych usług (np. strona główna e-commerce) używaj TTL na poziomie 5–15 minut. Dla mniej ważnych subdomen możesz zostawić dłuższy czas. Pamiętaj tylko, by przed planowaną zmianą zmniejszyć TTL z wyprzedzeniem – wtedy nowe IP rozpropaguje się szybko.
Przykład z życia
Klient z branży e-commerce miał TTL ustawiony na 24h. Gdy serwer padł w szczycie sezonu, zmiana IP zajęła dobę. Straty: około 150 000 zł w utargu. Po skróceniu TTL do 5 minut kolejna awaria została zażegnana w kwadrans.
2. Brak redundantnych DNS-ów – pojedynczy punkt awarii całego biznesu
Wielu przedsiębiorców korzysta z DNS od tego samego dostawcy co hosting. To wygodne, ale ryzykowne. Jeśli Twój hosting ma problem, często pada też DNS – i wtedy nawet nie masz jak przekierować ruchu na zapasowy serwer.
Dlaczego to takie groźne?
Bez redundancji DNS jesteś całkowicie zależny od jednego podmiotu. Gdy ten dostawca ma awarię, Twoja strona jest offline – dla całego świata. A czasu na naprawę nikt nie gwarantuje.
Rozwiązanie – secondary DNS
Skorzystaj z usługi secondary DNS, która przechowuje kopię Twoich stref u innego dostawcy. Gdy primary pada, secondary automatycznie przejmuje ruch. Koszt to kilkadziesiąt złotych miesięcznie – ubezpieczenie od utraty całego przychodu.
Case study
Pewien SaaS B2B miał całą infrastrukturę u jednego dostawcy. Gdy ten padł na 6 godzin, firma straciła nie tylko sprzedaż, ale i zaufanie klientów. Po wdrożeniu secondary DNS następna awaria trwała 2 minuty – tyle, ile zajęło przełączenie.
3. Brak DNSSEC i innych zabezpieczeń – prosta droga do przejęcia ruchu
DNSSEC (DNS Security Extensions) to zestaw protokołów zapobiegających fałszowaniu odpowiedzi DNS. Bez niego atakujący może podmienić adres IP Twojej strony na własny – i przejąć cały ruch, w tym dane logowania, hasła, numery kart.
Jak często to się zdarza?
Bardziej, niż myślisz. Ataki typu DNS spoofing są stosunkowo łatwe do przeprowadzenia, a ofiarami padają średnie firmy, które nie mają budżetu na zaawansowaną ochronę. Brak DNSSEC to jak zostawienie otwartych drzwi do serwerowni.
Co jeszcze możesz zrobić?
- Włącz DNSSEC u swojego rejestratora domeny i dostawcy DNS.
- Używaj aliasów CNAME zamiast rekordów A, gdy tylko to możliwe – to utrudnia ataki.
- Regularnie audytuj swoje rekordy DNS – usuń nieużywane subdomeny, które mogą być celem ataków.
Realny scenariusz
W zeszłym roku jedna z polskich firm e-commerce padła ofiarą DNS hijackingu. Atakujący przekierował ruch na fałszywą stronę i zbierał dane kart kredytowych. Firma dowiedziała się o tym po kilku dniach od klientów. Straty finansowe i reputacyjne były ogromne. A wystarczyło włączyć DNSSEC.
Podsumowanie
DNS to nie tylko techniczny detal – to fundament dostępności, wydajności i bezpieczeństwa Twojego biznesu online. Te trzy błędy: zbyt długi TTL, brak redundancji i brak DNSSEC popełnia większość firm, które tracą pieniądze przez „niewidzialne” problemy techniczne. Na szczęście każdy z nich można naprawić szybko i tanio.
Jeśli nie jesteś pewien, jak wygląda Twoja konfiguracja DNS – poproś kogoś kompetentnego o audyt. Albo daj znać nam. Lepiej sprawdzić to dzisiaj, niż liczyć straty po awarii.
