DNSSEC (Domain Name System Security Extensions) je rozšíření systému doménových jmen (DNS), které zvyšuje jeho bezpečnost. DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena.

Jak DNSSEC funguje

Technologie DNSSEC je založena na hierarchickém digitálním podepisování DNS záznamů pomocí kryptografie s veřejným klíčem. Obdobný princip je základem např. podepisování e-mailů elektronickým podpisem.

Provozovatel domény si vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu. Aby byl tento klíč dostupný všem, publikuje jej držitel ke své doméně u nadřazené autority, kterou je pro všechny domény v zóně .cz registr domén .cz. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě (kořenové zóně). Vytváří se tak řetěz, který zajistí důvěryhodnost údajů, pokud není v žádném svém článku porušen, a všechny elektronické podpisy souhlasí.

Jak by mohl vypadat jednoduchý příklad podvržení číselné adresy a přesměrování uživatele na jiné místo můžete vidět na následujícím obrázku:

Základní součásti DNSSEC

Kořenový DNS server

Kořenové (root) servery jsou základní částí celého systému DNS a Internetu celkově. Zodpovídají za správné směrování DNS dotazů ke konkrétním DNS serverům pro danou doménu nejvyššího řádu. Typově se jedná o autoritativní DNS servery, které jsou úplně na vrcholu (čili u kořene) hierarchie DNS.

Autoritativní DNS server

Jde o DNS server, který uchovává oficiální záznamy, jaká IP adresa je přiřazena k jakému doménovému jménu. Pokud jste držitelem domény, můžete buď využít hostingových služeb nebo provozovat vlastní autoritativní DNS server, který bude o vaší doméně poskytovat správné informace ostatním uživatelům.

DNS resolver

DNS resolver je součást infrastruktury DNS. Jedná se o speciální typ DNS serveru, který má na starosti vyhledání a převod jména domény z uživatelsky čitelné podoby (např. domena.cz) na strojově lépe zpracovatelnou číselnou IP adresu. Resolver pošle dotaz různým autoritativním DNS serverům, které vrátí informaci, která adresa odpovídá hledanému doménovému jménu. Tato informace je předána zpět prohlížeči, který uživateli zobrazí obsah požadované stránky. Informaci o IP adrese může mít resolver uloženou i přímo u sebe v dočasné paměti (cache).

V rámci technologie DNSSEC se resolver stará o finální kontrolu podpisů před tím, než prohlížeč zobrazí požadovanou stránku uživateli. Pokud není podpis validní (byl narušen řetěz důvěry) a existuje riziko, že se někdo snaží poslat podvržená data, resolver vyhodnotí data jako nedůvěryhodná a uživateli se zobrazí, že je stránku nedostupná. V současné době nemají resolvery možnost zobrazit specifickou hlášku, že jde o chybu podpisu a možný útok.

Je vaše doména zabezpečená?

Pokud jste držitelem domény a nevíte, zda je zabezpečená, můžete na informačních stránkách DNSSEC provést v sekci Je moje doména zabezpečená? jednoduchý test.

Pokud vaše doména zabezpečená není, obraťte se na svého registrátora nebo poskytovatele hostingu ohledně zavedení technologie DNSSEC.

V případě, že teprve vybíráte, ke kterému registrátorovi jít, doporučujeme zvolit ty s vyšší certifikací. Seznam registrátorů a jejich hodnocení najdete na stránce Registrátoři.

Je vaše připojení zabezpečené?

Aby byl DNSSEC funkční a komunikace chráněna proti narušení, je nutné, aby resolver používaný vaším poskytovatelem připojení k Internetu tuto technologii podporoval. Na informačních stránkách DNSSEC je v sekci Je moje připojení k Internetu zabezpečené? k dispozici jednoduchý test, stačí jen kliknout na tlačítko Spustit test připojení a chvíli počkat.

Pokud připojení zabezpečené nemáte, kontaktujte svého poskytovatele připojení k Internetu a domluvte s ním změnu nastavení.

Nastavení DNSSEC pro pokročilé uživatele

Pokud se v technologiích vyznáte lépe, máte několik možností, jak začít používat DNSSEC: využít otevřeného resolveru, zprovoznit si vlastní resolver, nebo rozběhnout vlastní autoritativní DNS server. Některá řešení jsou složitější na zprovoznění, ale zase mohou poskytovat více kontroly.

Otevřené resolvery

Nastavení otevřeného resolveru lze vyřešit poměrně jednoduchou úpravou nastavení sítě. Nejznámější varianty otevřených resolverů:

• ODVR NIC.CZ – alternativa poskytovaná sdružením CZ.NIC, které spravuje .cz doménu.
• Cloudflare 1.1.1.1 – varianta od společnosti Cloudflare.
• Google Public DNS – veřejný DNS resolver společnosti Google.

Vlastní resolver

Nastavení vlastního resolveru je trochu složitější variantou. Uživateli ale poskytuje větší kontrolu nad celým systémem. Jednotlivá řešení mají dobře zpracovanou dokumentaci, ve které najdete všechny potřebné informace pro zprovoznění. Nejpoužívanější varianty jsou následující:

• Knot Resolver – resolver vyvíjený sdružením CZ.NIC. V dokumentaci jsou dostupné konfigurace pro jednotlivé verze, ale je ideální používat verzi stable.
• BIND 9 – tradiční a hojně rozšířené řešení, které nabízí funkce resolveru i DNS serveru. V dokumentaci najdete kompletní instalační návod.
• Unbound – další resolver podporující DNSSEC, v jejich dokumentaci můžete najít návod přímo pro domácí síť.

Vlastní autoritativní DNS server

Existuje rovněž možnost zprovoznit si vlastní autoritativní DNS server. Údaje o vaší doméně budete mít stoprocentně pod kontrolou. Váš server pak bude poskytovat tyto údaje ostatním uživatelům.

• Knot DNS – výkonný autoritativní DNS server od sdružení CZ.NIC. Při instalaci doporučujeme zvolit stable verzi, jejíž instalační a konfigurační návod naleznete v dokumentaci.
• BIND 9 – tradiční a hojně rozšířené řešení, které nabízí funkce resolveru i DNS serveru. V dokumentaci najdete kompletní instalační návod.