Co je to DNSSEC, jak funguje a jak si ho nastavit?

14. srpna 2024

DNSSEC (Domain Name System Security Extensions) je sada rozšíření k protokolu DNS (Domain Name System), která zajišťuje bezpečnost a integritu dat přenášených prostřednictvím DNS. Samotné DNS je základní systém, který převádí doménová jména, jako například example.com, na IP adresy, které jsou používány k identifikaci zařízení v síti. Bez DNS bychom neměli jednoduše zapamatovatelná doménová jména v podobě slov, ale pouze složité IP adresy. Původní návrh DNS však nebyl zaměřen na bezpečnost, což otevírá prostor pro různé typy útoků, jako je například „cache poisoning“, kde útočník podstrčí falešnou IP adresu pro konkrétní doménu.

Jak DNSSEC funguje?

DNSSEC přidává do DNS vrstvu kryptografického zabezpečení, která umožňuje ověření autenticity a integrity DNS odpovědí. Toho je dosaženo prostřednictvím digitálních podpisů:

  1. Digitální podpisy: Každý záznam DNS může být podepsán pomocí privátního klíče. Odpovídající veřejný klíč je uložen ve speciálním DNS záznamu (záznam typu DNSKEY), který může být použit k ověření pravosti záznamu.
  2. Řetězec důvěry: DNSSEC vytváří „řetězec důvěry“ od kořenové zóny až po konkrétní doménu. To znamená, že každý krok v tomto řetězci může být ověřen pomocí klíčů z nadřazené zóny, což zajišťuje, že záznamy DNS nebyly neoprávněně změněny.
  3. Ověření autenticity: Když klient (např. váš počítač) obdrží DNS odpověď (z DNS serveru), může pomocí veřejného klíče ověřit, zda je záznam pravý a nebyl změněn během přenosu.

Proč je DNSSEC důležitý?

DNSSEC hraje klíčovou roli v zabezpečení internetu, protože chrání domény před útoky, které by mohly přesměrovat uživatele na falešné webové stránky. Bez DNSSEC jsou DNS záznamy zranitelné vůči různým typům útoků, jako je cache poisoning*, což může mít vážné důsledky pro uživatele i provozovatele webů. Implementací DNSSEC si můžete být jisti, že komunikace mezi vaším webem a uživateli probíhá bezpečně a bez manipulace.

*Cache poisoning je technika útoku na počítačové systémy, kde útočník manipuluje s cache (mezipamětí) tak, aby do ní vložil škodlivé nebo falešné informace. Cílem je, aby tento škodlivý obsah byl později načten a zpracován jako důvěryhodný, čímž může dojít k různým nežádoucím nebo nebezpečným situacím.

DNSSEC také přispívá k celkové důvěryhodnosti vaší online přítomnosti. Pokud provozujete e-shop, firemní web nebo jinou kritickou online službu, nasazení DNSSEC může posílit důvěru zákazníků ve vaši značku a snížit riziko, že se stanou obětí podvodů.

Jak nastavit DNSSEC na vlastním DNS serveru? 

U CZ domén je to jednoduché. Díky automatizaci ze strany CZ.NIC (správce domény CZ). Zde je jednoduchý návod jak na to: 

  1. Vložte CDSKEY záznam:
    • Vytvořte DNS záznam typu CDSKEY (Child DNSKEY) na vašem DNS serveru. Tento záznam by měl obsahovat veřejnou část vašeho DNSSEC klíče.
  2. Ověřte správnost záznamu:
    • Ujistěte se, že je CDSKEY záznam správně nastaven a dostupný na všech vašich autoritativních nameserverech. K tomu můžete využít online nástroje pro DNSSEC validaci.
  3. CZ.NIC převezme kontrolu:
    • CZ.NIC jednou denně automaticky prohledává všechny domény CZ a hledá CDSKEY záznamy. Pokud najde platný záznam u vaší domény, spustí proces automatizovaného nastavení DNSSEC.
  4. Ověření a aktivace:
    • CZ.NIC po dobu 7 dní ověřuje, zda je CDSKEY záznam konzistentní na všech vašich nameserverech. Pokud ano, vytvoří z něj nový keyset s prefixem „AUTO-“ a přiřadí jej k vaší doméně.
  5. Hotovo!
    • Vaše doména je nyní zabezpečena DNSSEC a CZ.NIC se postará o správu klíčů.

Další informace a zdroje

  • O každé změně týkající se DNSSEC vaší domény budete informováni e-mailem.
  • Pokud chcete DNSSEC deaktivovat, vložte do CDSKEY záznamu hodnotu „0 3 0 0“. CZ.NIC to rozpozná a odstraní keyset z vaší domény.
  • RFC 7344 a RFC 8078 – technické standardy pro DNSSEC.

Na CZECHIA.COM jsme před nedávnem podepsali DNSSEC u 100 % domén na našich DNS serverech, čímž jsme udělali další krok k většímu zabezpečení domén našich zákazníků. Navíc nabízíme největší výběr doménových koncovek, takže pokud uvažujete o registraci nové domény, určitě se podívejte na naši nabídku na CZECHIA.COM.

Vojtěch Tomášek

Jsem redaktor se zájmem o technologie, grafický design a IT. Je pro mě klíčová zpětná vazba a podněty od čtenářů. Chci tak tvořit obsah, který nejen informuje, ale také inspiruje a obohacuje. Od dokončení vysoké školy se věnuji převážně grafice a IT. Když zrovna nejsem v redakci Intervalu, jsem v přírodě nebo se právě snažím dokončit quest v nejnovějším Zaklínači.

Mohlo by vás také zajímat

Nejnovější

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *