Jak zabezpieczyć domenę przed utratą

Domena to najczęściej lekceważony, a jednocześnie najważniejszy pojedynczy zasób cyfrowy firmy. Strona internetowa da się odbudować w kilka dni, bazę danych można przywrócić z backupu, konta w mediach społecznościowych w razie blokady da się odzyskać przez formularz - ale utracona domena potrafi zniknąć bezpowrotnie lub wrócić do pierwotnego właściciela dopiero po miesiącach postępowań i za kwoty liczone w dziesiątkach tysięcy złotych. Nieprzypadkowo historia internetu pełna jest firm, które przez nieuwagę straciły adres, pod którym znali je klienci.

W tym artykule tłumaczę, jakie są realne zagrożenia dla domeny firmowej i co krok po kroku zrobić, żeby jej nie utracić. Jest to wiedza praktyczna, z perspektywy kogoś, kto od lat administruje domenami klientów i widział niemal każdy możliwy scenariusz - od banalnego niezapłaconego odnowienia, przez przejęcia konta u rejestratora, aż po wyrafinowane oszustwa z podrobionymi mailami od Google. Wdrożenie wszystkich zabezpieczeń zajmuje kilka godzin, a chroni zasób wart często kilkaset tysięcy złotych w wartości biznesowej.

Dlaczego ludzie tracą domeny

Najczęstsza przyczyna utraty domeny nie jest spektakularna - to zwykłe nieodnowienie abonamentu. Rejestrator wysyła przypomnienia na mail, ten mail trafia do spamu albo leci na skrzynkę byłego pracownika, domena wygasa, trafia do puli redemption, potem do aukcji, a po dwóch miesiącach zostaje wykupiona przez kogoś innego. Zdarza się to kilka razy dziennie w polskim internecie, a ofiarami padają zarówno mali przedsiębiorcy, jak i duże firmy, w których administracja IT rozjechała się po reorganizacji.

Druga najczęstsza przyczyna to przejęcie konta u rejestratora. Atakujący wchodzi na konto (przez wyciek hasła, phishing, atak na skrzynkę mailową), zmienia dane kontaktowe, zleca transfer do innego rejestratora i znika z domeną. Procedury odzyskiwania bywają skomplikowane, bo trzeba udowodnić, że ktoś jeszcze nie zdążył sprzedać domeny dalej, a fizyczne odnalezienie sprawcy często nie jest w praktyce możliwe. Transfer do innego rejestratora jest dla atakującego mechanizmem "prania" własności - po takiej operacji domena formalnie zmienia zarządcę i trudniej ją zablokować.

Trzecia grupa przyczyn to błędy ludzkie i organizacyjne - domena zarejestrowana na pracownika, który odszedł z firmy; domena na koncie agencji, która zbankrutowała; domena na imię i nazwisko właściciela, który zmarł i spadkobiercy nie wiedzą, że coś takiego istnieje. W każdym z tych scenariuszy firma traci kontrolę nad własnym adresem internetowym, mimo że nie było żadnego ataku - wystarczyło, że nie ustawiła procesu i nie pomyślała o ciągłości zarządzania.

Wybór właściwego rejestratora domen

Rejestrator to firma, która technicznie zarządza twoim wpisem w rejestrze domenowym. W Polsce tą rolę pełnią między innymi OVH, nazwa.pl, home.pl, cyberFolks, Mydevil, Az.pl i dziesiątki mniejszych. Różnice między nimi są ogromne - nie tylko w cenie, ale też w jakości panelu administracyjnego, szybkości reakcji supportu, dostępności zabezpieczeń (2FA, registrar lock, DNSSEC) oraz procedurach odzyskiwania dostępu. Wybór rejestratora to decyzja, która wraca do ciebie co roku, więc warto zrobić ją z głową.

Sprawdzaj, czy rejestrator ma 2FA dostępne dla klientów indywidualnych (nie tylko dla biznesu), czy oferuje registrar lock (blokada transferu) i czy umożliwia włączenie DNSSEC w panelu bez konieczności pisania maila do supportu. Sprawdzaj też, jak wygląda procedura odzyskiwania konta w razie utraty dostępu - niektórzy rejestratorzy wymagają tylko potwierdzenia mailem, inni żądają skanu dowodu, zaświadczenia od notariusza albo potwierdzenia z banku. To ostatnie brzmi kłopotliwie, ale w razie realnego ataku ratuje przed utratą zasobu.

Dla kluczowych domen warto rozważyć rejestratorów premium nastawionych na biznes - MarkMonitor, CSC, Com Laude. Koszty są kilkukrotnie wyższe niż w mass-marketowych rejestratorach, ale procedury bezpieczeństwa są na innym poziomie. Korzystają z nich Google, Apple, Microsoft i inne firmy, które wiedzą, ile kosztuje utrata domeny. Dla firmy o rocznych obrotach powyżej kilku milionów złotych taki wybór potrafi się zwrócić przy pierwszej próbie ataku, której się uniknie.

Blokada transferu domeny (registrar lock)

Registrar lock to funkcja, która uniemożliwia transfer domeny do innego rejestratora bez ręcznego wyłączenia blokady w panelu. Gdy jest włączona, nawet jeśli ktoś dostanie kod authinfo (EPP), nie będzie mógł skutecznie przenieść domeny, dopóki ty sam nie odblokujesz. To pierwsza linia obrony przed przejęciem konta - atakujący, który wejdzie do panelu, musi też wyłączyć lock, co często wymaga dodatkowej weryfikacji albo opóźnienia proceduralnego.

Standard registrar lock jest dostępny dla domen globalnych (.com, .net, .org), ale nie wszystkie rejestratory włączają go domyślnie. W przypadku .pl mechanizm jest inny - NASK prowadzi rejestr z mechanizmem transferu opartym o kod authinfo i tu lock ustawia się albo przez rejestratora, albo przez mechanizm opóźnienia transferu (5-14 dni). Sprawdź w panelu swojego rejestratora, czy masz aktywną blokadę. Jeśli nie, włącz ją jeszcze dziś - to kliknięcie jednego przełącznika, a ratuje w 90% scenariuszy ataku.

Dla najcenniejszych domen warto rozważyć Registry Lock - silniejszy mechanizm, w którym blokada jest ustawiona na poziomie rejestru (np. Verisign dla .com), nie rejestratora. Odblokowanie wymaga wtedy ręcznej interwencji i dodatkowej weryfikacji ze strony rejestru, co praktycznie uniemożliwia nieautoryzowany transfer. Ta usługa kosztuje kilkaset dolarów rocznie, ale dla marek o globalnej rozpoznawalności jest standardem.

Prywatność WHOIS

WHOIS to publiczny rejestr, w którym widoczne są dane właściciela domeny - imię i nazwisko lub nazwa firmy, adres, email, telefon. Dla osób fizycznych od wprowadzenia RODO większość danych jest maskowana, ale dla firm część informacji wciąż bywa publiczna. Dane te są głównym źródłem ataków typu phishing, spam i social engineering - ktoś widzi, że jesteś właścicielem kilku domen, wysyła ci podrobiony mail od "twojego rejestratora", a ty klikasz link prowadzący do fałszywego panelu.

Większość rejestratorów oferuje usługę WHOIS privacy, w której twoje dane są zamieniane na dane proxy rejestratora. Dla domeny prywatnej warto to włączyć zawsze - zmniejsza liczbę ataków kierowanych bezpośrednio na ciebie. Dla domeny firmowej decyzja jest trudniejsza, bo bywa wymagana identyfikacja (np. w procesach WIPO), ale też warto maskować dane kontaktowe prywatne - zamiast prywatnego maila pracownika podawać dedykowany adres firmowy, zamiast numeru komórki centralę.

W Polsce dla domen .pl dane WHOIS prywatnych właścicieli są domyślnie ukrywane, dla firm widoczne. Sprawdź w WHOIS swojej domeny, co rzeczywiście widać - wpisz "whois twoja-domena.pl" w narzędziu typu who.is albo na stronie rejestru. Jeśli widzisz dane osobiste, które nie muszą być publiczne, zmień je na adres kontaktowy firmy (np. kontakt@domena.pl) i ogólny telefon zamiast komórki.

Uwierzytelnianie dwuskładnikowe (2FA)

2FA (two-factor authentication) to drugi składnik potwierdzania tożsamości - poza hasłem musisz podać dodatkowy kod z aplikacji (Google Authenticator, Authy, 1Password) albo klucza sprzętowego (YubiKey, Titan Key). Różnica między kontem z 2FA a bez jest taka, że nawet po wycieku hasła atakujący nie wejdzie do panelu - bo nie ma dostępu do drugiego składnika. Większość ataków przejęcia kont u rejestratorów dotyczy kont bez 2FA, bo są po prostu łatwiejsze.

Dla kont kluczowych (rejestrator domen, hosting, mail administracyjny, menedżer haseł) włącz 2FA oparte o aplikację, nie o SMS. SMS-y dają się przechwytywać przez atak typu SIM swap, w którym atakujący przekonuje operatora do przeniesienia twojego numeru na swoją kartę SIM. Aplikacja TOTP jest lokalna, offline i nie da się jej przejąć zdalnie. Dla jeszcze wyższego poziomu bezpieczeństwa używaj fizycznego klucza U2F - tego nie da się zphisingować, bo klucz weryfikuje, że wpisujesz kod na prawdziwej stronie rejestratora, a nie na fałszywej.

Warto też pamiętać, że 2FA trzeba mieć włączone nie tylko na koncie u rejestratora, ale też na skrzynce mailowej używanej jako kontakt administracyjny. Jeśli atakujący przejmie twoją skrzynkę, zamówi reset hasła u rejestratora, kliknie link w mailu i nadal może wejść bez znajomości 2FA - bo reset często wymaga tylko kliknięcia w link mailowy. Dlatego łańcuch zabezpieczeń jest tak silny, jak najsłabsze ogniwo, którym zwykle jest mail.

Długie okresy abonamentu i auto-odnowienie

Standardowy abonament domeny to 1 rok. Ale rejestratorzy pozwalają opłacić z góry 2, 5, a nawet 10 lat. Dla domeny kluczowej dla biznesu warto wykupić długi okres - zmniejsza to ryzyko, że zapomnisz o odnowieniu, i pokazuje, że domena jest zarezerwowana na długi czas (co ma znaczenie przy ocenach SEO, gdzie Google traktuje długi abonament jako sygnał zaangażowania właściciela).

Dodatkowo włącz auto-odnowienie z kartą kredytową, która ma ustawione automatyczne płatności i długą datę ważności. Uważaj na scenariusz, w którym karta wygasa za rok, a ty o tym zapomnisz - wtedy auto-odnowienie nie zadziała i dostaniesz komunikat, którego nie zauważysz. Dlatego raz w roku sprawdzaj, czy karta użyta do rozliczeń z rejestratorem jest aktualna i czy masz na niej środki.

Dla firm warto rozważyć rozliczenia fakturowe zamiast kartą - niektórzy rejestratorzy pozwalają na odnowienie na fakturę z terminem 14-30 dni. To bezpieczniejsze, bo nawet w razie problemu z płatnością masz czas na interwencję zanim domena przejdzie w status redemption. O hostingu i domenach z perspektywy biznesowej pisaliśmy osobno - warto też zadbać, żeby rejestrator domeny i dostawca hostingu nie byli tą samą firmą, bo utrata jednego konta oznaczałaby utratę obu zasobów jednocześnie.

Bezpieczny email administracyjny

Jeden z najczęstszych błędów to ustawienie maila administracyjnego domeny na adres w tej samej domenie. Wygląda to profesjonalnie - "kontakt@twojadomena.pl" u rejestratora .pl - ale w razie problemu jest pułapką. Jeśli domena przestanie działać (awaria DNS, problem z hostingiem, wygaśnięcie), mail też przestaje działać. A ty nie dostaniesz powiadomień od rejestratora, bo one przychodzą na adres, który jest właśnie zablokowany.

Dlatego mail administracyjny ustaw na zewnętrznym dostawcy - Gmail, Protonmail, Fastmail, własny hosting pocztowy na innej domenie. Ten adres powinien być używany wyłącznie do krytycznej administracji (rejestrator, hosting, mail, certyfikaty SSL) i chroniony najsilniejszymi zabezpieczeniami - unikalne hasło, 2FA aplikacyjne, klucz sprzętowy. Nikomu go nie podawaj - to nie jest adres kontaktowy dla klientów, tylko skrzynka techniczna.

Jeśli prowadzisz firmę, w której domeną opiekuje się wiele osób, zrób grupę mailową na zewnętrznej skrzynce - np. "admin@firma-zewnetrzna.com", która przekazuje maile do kilku osób. Dzięki temu powiadomienia o wygaśnięciu trafiają do całego zespołu, a nie tylko do jednej osoby, która może być akurat na urlopie lub odejść z firmy. O tym, jak zadbać o bezpieczeństwo samego maila, pisaliśmy w artykule o SPF, DKIM i DMARC - standardy te chronią przed podszywaniem się pod twoją domenę mailową.

Monitoring wygaśnięcia i statusu domeny

Rejestrator wysyła przypomnienia o wygaśnięciu, ale pojedynczy kanał powiadomień to za mało. Skonfiguruj zewnętrzny monitoring - serwis typu DomainTools, Whois Lookup albo prosty skrypt cron, który raz dziennie sprawdza datę wygaśnięcia i status WHOIS twoich domen. Gdy coś się zmieni (zmiana NS, zmiana rejestratora, skrócenie daty), dostaniesz alert od razu, a nie po tygodniach.

Dla firm z kilkoma lub kilkunastoma domenami warto mieć arkusz kontrolny - lista wszystkich domen, kont, rejestratorów, dat wygaśnięcia, osoby odpowiedzialnej. Raz na kwartał sprawdzaj, czy lista jest aktualna. Szczególną uwagę zwróć na domeny "historyczne" - stare warianty, nazwy zastępcze, przekierowania. Łatwo o nich zapomnieć, a kompromitacja takiej drugiej domeny może być wykorzystana do ataków phishingowych na twoich klientów.

Monitoruj też WHOIS kluczowych marek i konkurencji - jeśli pracujesz pod marką X, warto wiedzieć, kiedy ktoś rejestruje domeny o nazwach bardzo podobnych (typosquatting). Takie wczesne wykrycie pozwala zareagować, wystąpić z roszczeniem WIPO albo po prostu wykupić domenę od squattera, zanim ten zacznie ją wykorzystywać do phishingu lub wyłudzeń.

DNSSEC - kryptograficzna ochrona DNS

DNSSEC to mechanizm, który kryptograficznie podpisuje odpowiedzi serwerów DNS twojej domeny. Dzięki temu nikt po drodze (między serwerem DNS a odwiedzającym stronę) nie może podmienić odpowiedzi - a więc nie może przekierować twoich użytkowników na fałszywą wersję strony. Bez DNSSEC ataki typu DNS spoofing są możliwe - zwłaszcza na otwartych sieciach Wi-Fi albo w infrastrukturze ISP o niskiej jakości.

Włączenie DNSSEC wymaga wsparcia po stronie rejestru (dla .pl jest, dla większości TLD jest), rejestratora i dostawcy DNS. Jeśli używasz hostingu jednej firmy i DNS tej samej firmy, powinno to być włączenie jednym przełącznikiem w panelu. Jeśli masz DNS u zewnętrznego dostawcy (Cloudflare, AWS Route 53), proces jest trochę bardziej skomplikowany - trzeba wygenerować klucz DS u dostawcy DNS, wpisać go u rejestratora, poczekać na propagację.

DNSSEC nie chroni wszystkiego - nie zabezpieczy cię przed przejęciem konta u rejestratora, nie zabezpieczy hasła, nie pomoże w razie DDoS. Ale jest ważnym elementem łańcucha bezpieczeństwa, który coraz częściej wymagają audytorzy bezpieczeństwa i niektórzy partnerzy biznesowi (np. banki, ubezpieczyciele). Włączenie jest tanie (często darmowe), a dodaje wymierną warstwę ochrony.

Co zrobić, gdy już utracisz domenę

Jeśli zauważysz, że domena wygasła lub została przejęta, działaj natychmiast. Pierwsze 30-45 dni po wygaśnięciu to okres redemption - domena jest zablokowana, nikt jej nie może zarejestrować, a ty możesz ją odzyskać przez wniesienie opłaty restore (zwykle 100-300 zł dla .pl, 80-300 USD dla .com). To najtańsza i najszybsza droga odzyskania. Kontaktuj się z rejestratorem od razu, nie czekaj nawet dnia - im później, tym bardziej skomplikowana procedura.

Po okresie redemption domena trafia do puli publicznej, a najczęściej na aukcje typu GoDaddy Auctions albo NameJet. Tam kupujący konkurują o nią, ceny potrafią pójść w dziesiątki tysięcy złotych za atrakcyjne nazwy. Jeśli domena wyleciała do aukcji, masz dwie opcje - licytować i wykupić po wysokiej cenie, albo czekać na kolejny cykl i liczyć, że nikt jej nie zarezerwuje (rzadko się zdarza dla dobrych nazw). Z tego powodu redemption jest tak ważny - to ostatni moment, żeby odzyskać domenę za normalne pieniądze.

W przypadku przejęcia konta i transferu kradzieży (cyber squatting z podszywaniem) procedura jest prawna - UDRP dla domen globalnych, postępowanie WIPO, ewentualnie sąd cywilny. Procedura UDRP zajmuje 2-4 miesiące i kosztuje około 1500-5000 USD za jedną domenę, ale przy udowodnionym złośliwym działaniu sprawcy zazwyczaj kończy się odzyskaniem. Dla przypadków jasnego phishingu albo podszywania się pod znaną markę można też zgłosić sprawę do rejestratora, który czasem działa bez sądu. Tu pomocne są też artykuły typu czy warto kupować domenę .com dla biznesu w Polsce - wybór TLD ma znaczenie nie tylko marketingowe, ale też prawne (różne TLD podlegają różnym jurysdykcjom).

Podsumowanie - checklist zabezpieczeń

Domena firmowa to zasób, który zasługuje na traktowanie tak samo poważne jak konto bankowe firmy. Minimum zabezpieczeń, które powinieneś wdrożyć to: rejestrator z 2FA aplikacyjnym, registrar lock włączony, WHOIS privacy włączona, mail administracyjny na zewnętrznej domenie z własnym 2FA, auto-odnowienie z kartą o długiej ważności, abonament na 2-5 lat z góry, DNSSEC włączony, zewnętrzny monitoring statusu WHOIS, lista domen z osobami odpowiedzialnymi sprawdzana raz na kwartał.

Wdrożenie pełnego zestawu zabezpieczeń zajmuje kilka godzin i kosztuje od kilkudziesięciu do kilkuset złotych rocznie dodatkowo. Tyle samo co pół zakupu biurkowego sprzętu - a chroni zasób, którego wartość biznesowa bywa setki razy większa. Jeśli prowadzisz biznes online, nie ma powodu, żeby z tym czekać. Jeśli masz pytania lub chcesz, żebyśmy przeszli przez audyt bezpieczeństwa twoich domen krok po kroku, napisz do nas - pomożemy ustawić proces, który działa bez twojego codziennego nadzoru.