.th DNSSEC Status Report
ระบบชื่อโดเมน (Domain Name System: DNS)
ระบบชื่อโดเมนเป็นส่วนประกอบที่สำคัญมากของระบบอินเทอร์เน็ตทุกครั้งที่มีการใช้งานระบบใด ๆ บนอินเทอร์เน็ตเช่นพร้อมเพย์ LINE Facebook หรืออ่านเมล ระบบชื่อโดเมนจะเป็นขั้นตอนแรกที่ถูกเรียกใช้งาน DNS ทำหน้าที่แปลงชื่อโดเมนเป็นหมายเลข IP ซึ่งจำเป็นต่อการนำทางไปยังเว็บไซต์ การส่งอีเมล ตลอดจนการใช้งานอื่นๆ บนอินเทอร์เน็ต นับได้ว่า DNS เป็นโครงสร้างพื้นฐานที่สำคัญยิ่งของอินเทอร์เน็ต หากระบบชื่อโดเมนไม่สามารถทำงานได้ ผู้ใช้งานจะไม่สามารถใช้งานระบบใด ๆ บน อินเทอร์เน็ตได้เลย แต่ผู้ใช้งานทั่วไปอาจจะไม่ทราบว่ามีระบบชื่อโดเมนทำงานอยู่เบื้องหลัง หลายคนอาจไม่เคยสงสัยว่าระบบชื่อโดเมนทำงานถูกต้องหรือไม่ และหลายคนไม่รู้ว่ามีความเสี่ยงที่ระบบชื่อโดเมนจะทำงานผิดพลาด
ความมั่นคงปลอดภัยของระบบชื่อโดเมน (Domain Name System Security Extensions: DNSSEC)
ระบบชื่อโดเมนมีความสำคัญต่อการใช้งานอินเทอร์เน็ตอย่างยิ่งแต่ระบบชื่อโดเมนมีความเสี่ยงที่ข้อมูล DNS จะถูกบิดเบือน เพราะอาจมีผู้ไม่ประสงค์ดีแอบเปลี่ยนที่อยู่ IP ปลายทาง ทำให้ปลายทางกลายเป็นที่อยู่ของเว็บปลอมได้ DNSSEC ป้องกันไม่ให้มีการแปลงที่อยู่ของเว็บปลายทาง ทำให้เมื่อใดที่เรียกใช้บริการ ผู้ใช้สามารถมั่นใจได้ว่า ได้เข้าสู่เว็บปลายทางที่ถูกต้อง
DNSSEC ปกป้องผู้ใช้จากการปลอมแปลงข้อมูล โดยการลงชื่อหรือเซ็นข้อมูล DNS ด้วยรหัสลับของผู้ดูแลชื่อโดเมน และผู้ได้รับสามารถตรวจสอบเพื่อให้มั่นใจว่า ข้อมูล DNS ที่ได้รับมานั้น เป็นข้อมูลที่ถูกต้อง จากผู้เป็นเจ้าของสิทธิที่แท้จริง ทำให้มั่นใจได้ว่าข้อมูล DNS นั้นไม่ถูกเปลี่ยนระหว่างทาง โดยการตรวจสอบสามารถดำเนินการโดยระบบของผู้ให้บริการอินเทอร์เน็ต หรือผู้ให้บริการ DNS สาธารณะได้
การทำงานของ DNSSEC โดยหลัก ประกอบด้วยสองส่วนที่สำคัญ คือ ส่วนที่ทำการลงชื่อหรือเซ็น (Sign) ข้อมูล DNS และส่วนที่ทำการตรวจสอบลายเซ็น เพื่อดูความถูกต้องของข้อมูล DNS ซึ่งที่ผ่านมาส่วนแรกต้องใช้ความเชี่ยวชาญ เนื่องจากมีการดำเนินการหลายขั้นตอน ซับซ้อน และหากดำเนินการไม่ถูกต้อง จะทำให้ผู้ใช้ไม่สามารถเข้าถึงบริการจากชื่อโดเมนนั้นได้ อีกทั้งผู้ใช้ชื่อโดเมนยังไม่มีความตระหนัก จึงทำให้การใช้ DNSSEC ค่อนข้างต่ำ (อ้างอิงจากสถิติการใช้ DNSSEC ภายใต้ .th) แต่แนวโน้มในอนาคต คาดว่าอัตราการใช้งาน DNSSEC จะเพิ่มขึ้น เนื่องจากมีการรับรู้ถึงความสำคัญของความปลอดภัยทางไซเบอร์มากขึ้น มีการพัฒนาเครื่องมือและซอฟต์แวร์ที่ใช้งานง่ายขึ้น ผู้ให้บริการอินเทอร์เน็ต (ISP) ผู้ให้บริการคลาวด์ และผู้ให้บริการโฮสติ้ง เริ่มเสนอ DNSSEC เป็นบริการมาตรฐาน โดยผู้ใช้ชื่อโดเมนสามารถใช้ https://dnsviz.net/ เป็นเครื่องมือตรวจสอบว่าการติดตั้งและเซ็นข้อมูล DNS เรียบร้อยดีหรือไม่
สำหรับส่วนของการตรวจสอบความถูกต้องของข้อมูล DNS (DNSSEC Validation) นั้น หากผู้ให้บริการอินเทอร์เน็ตไม่เปิดให้มีการตรวจสอบข้อมูล DNS ผู้ใช้ก็จะไม่ได้รับประโยชน์จากกระบวนการส่วนแรกของ DNSSEC เลย ทั้งนี้หน่วยงานให้บริการหมายเลขอินเทอร์เน็ตภูมิภาคเอเชียแปซิฟิก (Asia Pacific Network Information Centre: APNIC) ได้เปิดเผยข้อมูลว่าการตรวจสอบความถูกต้องของข้อมูล DNS โดยผู้ให้บริการในไทยอยู่ในอัตราที่ต่ำมาก (9.73%) ดังแสดงในภาพที่ 1 จากข้อมูลดังกล่าว แสดงให้เห็นว่าแม้มีผู้ให้บริการอินเทอร์เน็ตหลายรายในไทยเปิดให้มีการตรวจสอบข้อมูล DNSSEC แล้ว แต่พบว่าผู้ให้บริการที่มีผู้ใช้บริการอินเทอร์เน็ตรายย่อยจำนวนมาก ยังไม่เปิดการตรวจสอบดังกล่าว ทำให้อัตราการตรวจสอบในภาพรวมของประเทศต่ำ หากหน่วยงานกำกับดูแลมีการกำหนดนโยบายที่เหมาะสม กำหนดให้ผู้ให้บริการเปิดการตรวจสอบ ก็จะทำให้เกิดประโยชน์ต่อผู้ใช้งานอินเทอร์เน็ตไทย ให้สามารถใช้งานอินเทอร์เน็ตได้อย่างมั่นใจอย่างมาก หรือผู้ใช้บริการสามารถทดสอบว่าท่านได้รับการปกป้องด้วย DNSSEC หรือไม่ ผ่านเว็บไซต์ – https://www.dnssec-or-not.com/ และหากท่านไม่ได้รับการปกป้องด้วย DNSSEC ท่านสามารถใช้ผลทดสอบส่งเป็นอีกหนึ่งเสียงที่จะร้องขอให้ผู้ให้บริการอินเทอร์เน็ตของท่านเปิดระบบการตรวจสอบ DNSSEC โดยคาดหวังว่าหากผู้ใช้จำนวนมากต้องการใช้บริการ ผู้ให้บริการอาจรับฟังความต้องการของท่านก็เป็นได้ ทั้งนี้ DNSSEC Validation เป็นหนึ่งในดัชนีชี้วัดประสิทธิภาพของประเทศต่าง ๆ ในการรักษาเสถียรภาพและความมั่นคงของระบบอินเทอร์เน็ต พัฒนาโดย Internet Society (ISOC) (https://pulse.internetsociety.org/resilience) อีกด้วย
ภาพที่ 1 การตรวจสอบความถูกต้องของข้อมูล DNS ของไทย
(อ้างอิง https://stats.labs.apnic.net/dnssec/TH ณ วันที่ 22 มิถุนายน 2567)
ความมั่นคงปลอดภัยทางไซเบอร์เป็นสิ่งที่เราทุกคน ควรมีส่วนร่วมในการต่อสู้ เพื่อป้องกันความสูญเสียที่จะเกิดขึ้น ทั้งต่อตัวเราและคนรอบข้าง .th ร่วมเป็นส่วนหนึ่งในการเพิ่มความมั่นคงปลอดภัยให้กับผู้ใช้อินเทอร์เน็ตไทย โดยเปิดใช้งาน DNSSEC สำหรับชื่อโดเมน .th และหมวดหมู่ย่อย ตั้งแต่ปี พ.ศ. 2552 ถือเป็น Country Code Top-Level Domain (ccTLD) แรกในเอเชีย ที่เปิด DNSSEC เพื่อให้บริการแก่ผู้ใช้งาน
(https://www.zdnet.com/article/asian-tlds-bide-their-time-on-dnssec/)
สถิติการใช้ DNSSEC ภายใต้ .th
ข้อมูลณวันที่ 18 มิถุนายน 2567 พบว่ามีโดเมนภายใต้ .th ที่มีการใช้ dnssec รวม 971 โดเมน ในจำนวน 971 โดเมน มีสัดส่วนของ .co.th จำนวน 474 โดเมน หรือ 48.8% .in.th จำนวน 245 โดเมน หรือ 25.2% .ac.th จำนวน 125 โดเมน หรือ 12.9% .go.th จำนวน 72 โดเมน หรือ 7.4% จำนวน .mi.th 1 หรือ 0.1% โดเมน .or.th จำนวน 29 โดเมน หรือ 3% จำนวน .net.th จำนวน 2 หรือ 0.2% โดเมน IDN.th จำนวน 13 โดเมน 1.3% และ SLD.th จำนวน 10 โดเมน 1%
ภาพที่ 2 จำนวนโดเมนภายใต้ . th ณ วันที่ 18 มิถุนายน 2567
(.th จดทะเบียนรวม 83,765 โดเมน)
อ้างอิง https://www.thnic.co.th/stats
ภาพที่ 3 จำนวนการ Signed ของโดเมนภายใต้ . th ณ วันที่ 18 มิถุนายน 2567
จำนวนการใช้ DNSSEC ภายใต้ หมวดหมู่ย่อยของ .th
ภาพที่ 4 DNSSEC แยกตามหมวดหมู่โดเมนภายใต้ . th ณ วันที่ 18 มิถุนายน 2567
สถิติการดำเนินการ signed delegation แยกตามโดเมนหมวดหมู่ย่อยภายใต้ .th เมื่อเทียบกับจำนวนโดเมนในแต่ละหมวดนั้นมีดังต่อไปนี้
.net.th
หน่วยงานผู้ให้บริการอินเทอร์เน็ตในไทยจดทะเบียนโดเมนภายใต้ .net.th จำนวน 18 โดเมน มีจำนวน 2 โดเมนที่ดำเนินการ signed คิดเป็น 11.1% ถือเป็นกลุ่มที่มีการใช้งาน dnssec ในอัตราที่สูงที่สุด โดยมี 1 รายเป็น research and education network และ 1 รายเป็นผู้ให้บริการอินเทอร์เน็ตที่ดำเนินธุรกิจ
.mi.th
หน่วยงานทางทหารจดทะเบียนโดเมนภายใต้ .mi.th จำนวน 18 โดเมน มีการ signed 1 โดเมน คิดเป็น 5.6%
.or.th
จำนวนโดเมนจดทะเบียนภายใต้ .or.th จำนวน 1,353 ชื่อโดเมน มีโดเมนที่ดำเนินการ signed จำนวน 29 โดเมน หรือ คิดเป็น 2.1%
.in.th
ชื่อโดเมนภายใต้ .in.th ทั้งหมดจำนวน 13,006 โดเมน มีโดเมนที่ดำเนินการ signed จำนวน 245 โดเมน หรือ คิดเป็น 1.9%
.ac.th
จำนวนโดเมนที่จดทะเบียนภายใต้ .ac.th ทั้งหมด 8,423 โดเมน มีโดเมนที่ดำเนินการ signed จำนวน 125 โดเมน คิดเป็น 1.5% ในจำนวน 125 โดเมน เป็นหน่วยงานสถาบันอุดมศึกษาจำนวน 67 โดเมน และโรงเรียนจำนวน 58 โดเมน
.co.th
ชื่อโดเมนภายใต้ .co.th มีจำนวนทั้งหมด 47,593 โดเมน โดเมนที่ดำเนินการ signed มีจำนวน 474 โดเมน หรือ คิดเป็น 1%
.go.th
จำนวนโดเมนที่จดทะเบียนภายใต้ .th จำนวน 9,559 โดเมน มีจำนวนโดเมนที่ดำเนินการ signed zone จำนวน 72 โดเมน หรือ คิดเป็น 0.7%
SLD.th
ชื่อโดเมนไร้หมวดหมู่ภายใต้ .th มีทั้งหมด 257 โดเมน โดเมนที่ดำเนินการ signed มีจำนวน 10 โดเมน หรือ คิดเป็น 3.9%
IDN.th หรือ โดเมนภาษาไทย.th
ชื่อโดเมนภาษาไทยภายใต้ .th จำนวนทั้งสิ้น 3,542 โดเมน มีโดเมนที่ดำเนินการ signed จำนวน 13 โดเมน หรือ คิดเป็น 0.4%
ภาพรวมการใช้ DNSSEC ภายใต้ .th
หากพิจารณากลุ่มของหน่วยงานที่มีสำคัญต่อความปลอดภัยในด้านชีวิตและทรัพย์สินการใช้ DNSSEC มีความจำเป็นอย่างยิ่ง เพื่อปกป้องผู้ใช้งาน โดยการตรวจสอบได้ว่าข้อมูล DNS มาจากต้นทางที่ถูกต้อง ข้อมูลไม่ได้ถูกปลอมแปลงโดยมิจฉาชีพ สถิติการใช้งาน DNSSEC ของกลุ่มดังกล่าวมีดังนี้
- หน่วยงานที่ได้รับการประกาศให้เป็นหน่วยงานควบคุมหรือกำกับดูแล หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศของไทย (อ้างอิง https://ict.moph.go.th/upload_file/files/c5b13dd235142b64034bbde16e4b1ab1.PDF) มีจำนวนทั้งหมด 19 หน่วยงาน ในจำนวน 19 หน่วยงาน ใช้โดเมนลำดับที่สามภายใต้ .th จำนวน 18 โดเมน (.go.th 13 โดเมน .or.th 4 โดเมน และ .co.th 1 โดเมน) พบว่ามีโดเมนที่ signed จำนวน 12 โดเมน หรือ คิดเป็น 66.7%
- กระทรวงในประเทศไทยทั้งหมด 20 กระทรวง จดทะเบียนโดเมนภายใต้ .go.th ทั้ง 20 กระทรวง และที่ดำเนินการ signed โดเมนมีจำนวน 9 กระทรวง คิดเป็น 45%
- กลุ่มการเงินการธนาคาร และประกันภัย ซึ่งเป็นกลุ่มที่มีความสำคัญอย่างมาก พบว่ามีจำนวนโดเมนภายใต้ .th ทั้งหมด 403 โดเมน signed ทั้งหมด 25 โดเมน คิดเป็น 6.2% ซึ่งยังถือว่าน้อยอยู่มาก
ภาพที่ 5 แสดงให้เห็นถึงพัฒนาการ การใช้งาน DNSSEC ของโดเมนภายใต้ .th ในภาพรวมอ้างอิงการเพิ่มข้อมูล DS record (Delegation Signer Record) ตั้งแต่เริ่มดำเนินการ โดยในปี 2015 มีจำนวนการใช้งานเพิ่มสูงกว่าปีแรกๆ เกิดจากกิจกรรมของเครือข่ายสารสนเทศเพื่อพัฒนาการศึกษา (UniNet) ที่ต้องการส่งเสริมการใช้ DNSSEC ของสมาชิก โดยมีการจัดฝึกอบรมการติดตั้งและใช้งาน DNSSEC (http://webapp.uni.net.th/UniNetNews/news_detail.php?inews=1&&inewsd=247) และต่อมาได้มีการประกาศมอบรางวัลให้กับสถาบันอุดมศึกษาที่มีการติดตั้งและใช้งาน DNSSEC ในระยะเวลาของการดำเนินกิจกรรม จึงทำให้สถาบันอุดมศึกษาที่เป็นสมาชิกของเครือข่ายเร่งดำเนินการเพื่อให้ผ่านเกณฑ์ที่กำหนดของกิจกรรม เพื่อแสดงถึงความพร้อมของสถาบันการศึกษาเองว่ามีความตระหนักและให้ความสำคัญในด้านความปลอดภัยเครือข่าย
ตั้งแต่ปีพ.ศ. 2563 มีจำนวนการใช้ DNSSEC ภายใต้ .th ในอัตราที่สูงขึ้นจากการที่ ผู้ให้บริการ Cloud ผู้ให้บริการอินเทอร์เน็ต และผู้ให้บริการโฮสติ้งในไทย เริ่มเปิดให้บริการ DNSSEC กับผู้ใช้ ทำให้จำนวนการใช้งานเพิ่มมากขึ้น จากข้อมูลปี พ.ศ. 2567 นี้พบว่า โดเมนที่ทำการ signed มีการใช้ nameserver ภายใต้ชื่อโดเมนของหน่วยงานเองด้วยจำนวนเพียง 122 โดเมน ใช้ nameserver ของผู้ให้บริการรายใหญ่ในระดับสากลจำนวน 571 โดเมน ใช้ name server ของผู้ให้บริการอินเทอร์เน็ตในประเทศ 182 โดเมน และใช้บริการ name server ของผู้ให้บริการโดเมนและ โฮสติ้งในไทย จำนวน 96 โดเมน
จะเห็นได้ในปัจจุบันที่ผู้ให้บริการโฮสติ้งและคลาวด์เปิดให้บริการ DNSSEC ให้กับผู้ใช้แล้ว ทำให้การใช้งานสำหรับโดเมนต่างๆ ง่ายขึ้น แต่การใช้งานจากโดเมนภายใต้ .th ยังน้อยอยู่มาก การสร้างความรู้ความเข้าใจกับผู้ถือครองโดเมนร่วมกับผู้ดูแลทางเทคนิคของโดเมน จะเพิ่มการใช้งาน DNSSEC ได้มากขึ้น ซึ่งผู้มีส่วนร่วมจะต้องร่วมมือกันดำเนินการ สำหรับหน่วยงานภาครัฐ และสถาบันการศึกษา การกำหนดนโยบายจากหน่วยงานกำกับดูแล หรือการส่งเสริมจากหน่วยงานต้นสังกัด จะช่วยให้เกิดการนำไปปฏิบัติได้อย่างทั่วถึง ทั้งนี้เพื่อเพิ่มความปลอดภัยให้กับผู้ใช้ เป็นการสร้างระบบนิเวศทางอินเทอร์เน็ตที่ดีให้กับสังคมไทยอย่างยั่งยืนต่อไป
ภาพที่ 5 การเติบโตของการใช้งาน DNSSEC ภายใต้ . th ณ วันที่ 18 มิถุนายน 2567
ข้อมูล ณ วันที่ 23 มิถุนายน 2567
Member of
โครงการของมูลนิธิ
