Co je DNSSEC a jak ho aktivovat na doméně

  1. Obsah
  2. Rychlý přehled pro pokročilé
  3. Co je dobré vědět předem
    1. Co budete potřebovat
  4. Jak DNSSEC funguje
    1. Příklad útoku bez DNSSEC
    2. Jak DNSSEC chrání vaše záznamy
    3. Výhody DNSSEC
    4. Pro koho je DNSSEC vhodný
  5. Jak DNSSEC aktivovat
    1. Doména a nameservery u Váš Hosting
    2. Domény registrované u jiného registrátora
  6. Jak ověřit, že DNSSEC funguje
    1. Ověření online nástrojem
    2. Ověření přes terminál (pro pokročilé)
  7. Řešení problémů
    1. Web přestal fungovat po aktivaci DNSSEC
    2. Online nástroj hlásí chybu, ale web funguje
    3. DNSSEC a přesun domény k jinému registrátorovi
    4. Příkaz dig nezobrazuje příznak ad ani RRSIG

Když zadáte adresu webu do prohlížeče, DNS servery přeloží název domény na IP adresu serveru. Problém je, že běžný DNS tento překlad nijak nechrání — útočník může odpověď DNS serveru podvrhnout a přesměrovat návštěvníky na falešný web, aniž by o tom kdokoli věděl.

DNSSEC (Domain Name System Security Extensions) tento problém řeší. Přidává ke každému DNS záznamu digitální podpis, díky kterému prohlížeč i e-mailový server dokážou ověřit, že záznam skutečně pochází od správce domény a nikdo ho po cestě neupravil.

Vysvětlíme, jak DNSSEC funguje, pro koho je vhodný a jak si ho nechat aktivovat na doméně u Váš Hosting.

Rychlý přehled pro pokročilé

Tato část slouží pouze pro ověření pro velmi zkušené uživatele, kteří si chtějí pouze ověřit postup a nepotřebují číst celý článek. Pro všechny ostatní doporučujeme pokračovat další sekcí.

  1. DNSSEC přidává digitální podpisy k DNS záznamům — chrání před DNS spoofingem a cache poisoningem.
  2. Aktivaci provádí podpora Váš Hosting — stačí poslat požadavek přes Zákaznický portál nebo na
    info@vas-hosting.cz.
  3. Funguje na webhostingu i VPS — jde o doménovou záležitost, nezávisí na typu služby.
  4. Podporovány jsou všechny TLD (.cz, .com, .eu a další).
  5. Aktivace je hotová v řádu hodin.
  6. Ověření: dnsviz.net nebo příkaz dig +dnssec DOMENA A v terminálu.

Co je dobré vědět předem

DNSSEC je doménová služba — nepotřebujete k ní SSH přístup, terminál ani žádné technické znalosti. Aktivaci kompletně zajišťuje podpora Váš Hosting, vy jen pošlete požadavek.

Co budete potřebovat

  • Doménu s nameservery nasměrovanými na Váš Hosting (ns.vas-hosting.cz, ns.vas-hosting.eu, ns.vas-hosting.com). Jak nameservery nastavit popisuje článek Jak nasměrovat doménu na server nebo webhosting. Pokud máte nameservery u jiného poskytovatele, přečtěte si sekci Domény registrované u jiného registrátora.
  • Přístup do Zákaznického portálu — pro odeslání požadavku na podporu (portal.vas-hosting.cz).

Časový odhad: Odeslání požadavku zabere 2 minuty. Aktivace ze strany podpory je hotová v řádu hodin.

Jak DNSSEC funguje

DNS odpovědi cestují po síti bez jakékoli ochrany. Kdokoli na trase mezi vaším počítačem a DNS serverem je může zachytit a podvrhnout — a vy se o tom nedozvíte.

Příklad útoku bez DNSSEC

Představte si, že zadáte do prohlížeče adresu svého internetového bankovnictví. DNS server vrátí IP adresu banky, ale útočník zachytí tuto odpověď a nahradí ji IP adresou svého vlastního serveru. Váš prohlížeč zobrazí web, který vypadá přesně jako banka, ale ve skutečnosti patří útočníkovi. Vy zadáte přihlašovací údaje a útočník je má.

Tomuto typu útoku se říká DNS spoofing (podvržení DNS odpovědi) nebo cache poisoning (otrávení DNS cache).

Jak DNSSEC chrání vaše záznamy

DNSSEC přidává ke každému DNS záznamu digitální podpis. Funguje to na principu tzv. chain of trust (řetězce důvěry). Pokud se chcete nejprve seznámit s tím, jak DNS záznamy fungují obecně, přečtěte si článek
DNS záznamy: Jak je spravovat a k čemu slouží.

  1. Správce domény podepíše své DNS záznamy privátním klíčem.
  2. Otisk tohoto klíče (tzv. DS záznam) se uloží u nadřazené autority — u registru dané domény (např. CZ.NIC pro .cz domény).
  3. Když se prohlížeč nebo e-mailový server dotáže na DNS záznam, dostane k němu i podpis.
  4. Podpis ověří proti veřejnému klíči, a ten ověří proti DS záznamu u registru.
  5. Pokud podpisy sedí, odpověď je autentická. Pokud ne, prohlížeč odpověď odmítne.

Díky tomu útočník nemůže DNS odpověď podvrhnout — nemá přístup k privátnímu klíči, a jakákoli úprava záznamu zneplatní podpis.

Výhody DNSSEC

  • Ochrana před podvržením DNS — zabraňuje útokům typu DNS spoofing a cache poisoning.
  • Ověření integrity dat — pokud někdo DNS záznam po cestě upraví, podpis přestane platit a odpověď se odmítne.
  • Důvěryhodnost domény — důležité zejména pro e-shopy, finanční služby a weby pracující s citlivými daty.
  • Podpora dalších technologií — DNSSEC je předpoklad pro nasazení technologie DANE a posiluje účinnost e-mailových standardů DMARC, DKIM a SPF.

Pro koho je DNSSEC vhodný

DNSSEC doporučujeme všem, kdo chtějí chránit návštěvníky svého webu a e-mailovou komunikaci. Obzvlášť důležitý je pro:

  • E-shopy a finanční služby — pracujete s platebními údaji a přihlašovacími daty zákazníků.
  • Firmy s citlivými daty — zdravotnictví, právní služby, korporátní weby.
  • Každého, kdo chce zvýšit důvěryhodnost domény — DNSSEC je viditelný signál, že bezpečnost berete vážně.

Jak DNSSEC aktivovat

DNSSEC se aktivuje na úrovni DNS a registrátora domény — nejedná se o nastavení na serveru ani ve VPS Centru. Aktivaci kompletně zajišťuje podpora Váš Hosting.

Doména a nameservery u Váš Hosting

Toto je nejčastější případ. Pokud máte doménu registrovanou u Váš Hosting a nameservery nastavené na ns.vas-hosting.cz, ns.vas-hosting.eu a ns.vas-hosting.com:

  1. Přihlaste se do Zákaznického portálu.
  2. Přejděte do Podpora → Kontaktovat podporu.
  3. Do pole Předmět napište např. „Aktivace DNSSEC“ a do pole Zpráva uveďte název domény (nebo domén), pro které chcete DNSSEC aktivovat.
  4. Odešlete požadavek.

Podpora zajistí kompletní nastavení — podpis DNS zóny i nastavení DS záznamu u registru. Po dokončení dostanete potvrzení. Celý proces je hotový v řádu hodin.

Zákaznický portál, formulář kontaktování podpory s požadavkem na aktivaci DNSSEC

Tip: DNSSEC funguje na webhostingu i VPS — jde o doménovou službu nezávislou na typu hostingové služby. Podporovány jsou všechny TLD (.cz, .com, .eu, .org a další

Domény registrované u jiného registrátora

Pokud máte doménu registrovanou u jiného registrátora, záleží na tom, kam směřují nameservery domény:

Nameservery směřují na Váš Hosting (ns.vas-hosting.cz atd.) — Váš Hosting podepíše DNS zónu a poskytne vám DS záznam. Tento DS záznam pak musíte nastavit u svého registrátora (v jeho administraci). Kontaktujte naši podporu — domluvíme s vámi konkrétní postup.

Nameservery směřují jinam — v takovém případě DNS zónu podepisuje provozovatel vašich nameserverů (ne Váš Hosting). DS záznam pak nastavuje registrátor. Obraťte se na poskytovatele, který spravuje vaše nameservery.

Pozor: DNSSEC vyžaduje spolupráci dvou stran — provozovatele nameserverů (podepisuje zónu) a registrátora (nastavuje DS záznam u registru). Pokud je obojí u Váš Hosting, vyřídíme vše na jednom místě. Pokud jsou u různých poskytovatelů, obě strany musí svou část provést správně.

Jak ověřit, že DNSSEC funguje

Po aktivaci si můžete ověřit, že DNSSEC na vaší doméně skutečně funguje. Existují dva způsoby — online nástroj (pro každého) a příkaz v terminálu (pro pokročilé).

Ověření online nástrojem

Stačí zadat název domény a za pár sekund máte výsledek:

Otevřete dnsviz.net, zadejte název domény a klikněte na Analyze. Nástroj zobrazí vizuální diagram řetězce důvěry (chain of trust). Pokud je vše zelené, DNSSEC funguje správně.

Pro .cz domény můžete použít i dnssec.cz/overeni — nástroj od správce české národní domény (CZ.NIC).

Nástroj dnsviz.net, vizuální diagram DNSSEC validace se zelenými uzly

Ověření přes terminál (pro pokročilé)

Pokud máte přístup k terminálu (na VPS přes SSH, nebo lokálně na Linuxu či macOS), můžete použít příkaz dig. Pokud s terminálem teprve začínáte, doporučujeme článek Kompletní průvodce SSH.

Zadejte následující příkaz:

dig +dnssec DOMENA A

Kde DOMENA je název vaší domény (např. example.cz). Přepínač +dnssec říká příkazu dig, aby si vyžádal i DNSSEC podpisy, a A určuje typ záznamu (A záznam = IPv4 adresa).

Pokud DNSSEC funguje, ve výstupu uvidíte:

  • V sekci flags příznak ad (Authenticated Data) — to znamená, že DNS odpověď prošla DNSSEC validací.
  • Záznam typu RRSIG — to je samotný digitální podpis DNS záznamu.
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2

Pokud příznak ad chybí nebo nevidíte RRSIG záznam, DNSSEC buď není aktivní, nebo není správně nakonfigurovaný.

Terminál, výstup příkazu dig +dnssec s příznakem ad a záznamem RRSIG]

Řešení problémů

Web přestal fungovat po aktivaci DNSSEC

Symptom: Po aktivaci DNSSEC doména přestane načítat web nebo přestanou fungovat e-maily.

Příčina: Nesprávně nakonfigurované DNSSEC podpisy nebo nesoulad mezi klíči na nameserverech a DS záznamem u registru. Pokud podpisy neodpovídají, DNS resolvery s DNSSEC validací odpověď odmítnou — doména se tváří jako neexistující.

Řešení: Kontaktujte podporu Váš Hosting. Podpora ověří konfiguraci podpisů a DS záznamu a opraví nesoulad. Pokud je problém urgentní, podpora může DNSSEC dočasně deaktivovat, aby se web a e-maily obnovily, a konfiguraci opravit bez výpadku.

Online nástroj hlásí chybu, ale web funguje

Symptom: Nástroj dnsviz.net nebo dnssec.cz ukazuje varování nebo chybu, ale web se normálně načítá.

Příčina: Ne všechny DNS resolvery provádějí DNSSEC validaci. Pokud váš poskytovatel internetu používá resolver bez validace, web vám funguje i s chybným DNSSEC. Jiní návštěvníci (s validujícím resolverem) ale mohou mít problém.

Řešení: I když vám web funguje, chybu v DNSSEC je potřeba opravit. Kontaktujte podporu Váš Hosting s výsledkem z ověřovacího nástroje.

DNSSEC a přesun domény k jinému registrátorovi

Symptom: Chystáte se převést doménu s aktivním DNSSEC k jinému registrátorovi a chcete vědět, zda DNSSEC zůstane funkční.

Příčina: DNSSEC závisí na dvou věcech — podpisu zóny na nameserverech a DS záznamu u registrátora. Při přesunu záleží na tom, co se mění:

Mění se jen registrátor, nameservery zůstávají stejné — DNSSEC zůstane funkční. Podpisy na nameserverech se nemění, nový registrátor jen převezme existující DS záznam. Nemusíte nic řešit předem.

Mění se nameservery (přecházíte i s DNS jinam) — DNSSEC je potřeba nastavit znovu. Nový provozovatel nameserverů musí zónu podepsat svými klíči a nový DS záznam se musí nastavit u registrátora. Dokud to není hotové, doporučujeme DNSSEC dočasně deaktivovat — jinak hrozí, že DS záznam u registru odkazuje na staré klíče, které na nových nameserverech neexistují, a doména přestane pro validující resolvery fungovat.

Příkaz dig nezobrazuje příznak ad ani RRSIG

Symptom: Po spuštění dig +dnssec DOMENA A v terminálu chybí ve výstupu příznak ad a záznam RRSIG.

Příčina: Může jít o tři věci — DNSSEC na doméně ještě není aktivní (aktivace probíhá), DNS resolver na vašem serveru nepodporuje DNSSEC validaci, nebo je DNSSEC skutečně špatně nakonfigurovaný.

Řešení: Nejprve ověřte DNSSEC přes online nástroj dnsviz.net — ten používá vlastní validující resolver a dá vám jednoznačnou odpověď.

Pokud online nástroj potvrdí, že DNSSEC je aktivní, ale dig na vašem serveru to neukazuje, váš lokální DNS resolver nepodporuje validaci. To je v pořádku — DNSSEC přesto funguje pro návštěvníky s validujícím resolverem.

Pokud ani online nástroj DNSSEC nepotvrdí, buď aktivace ještě probíhá, nebo se jedná o konfigurační chybu — kontaktujte podporu Váš Hosting.

Nechcete se o bezpečnost domény a serveru starat sami? Podívejte se na naše managed servery — kompletní správu serveru včetně DNS a zabezpečení zajistíme za vás.

Pomohl vám tento článek?

Ano Ne

Podobné články

Nápověda

  1. Obsah
  2. Rychlý přehled pro pokročilé
  3. Co je dobré vědět předem
    1. Co budete potřebovat
  4. Jak DNSSEC funguje
    1. Příklad útoku bez DNSSEC
    2. Jak DNSSEC chrání vaše záznamy
    3. Výhody DNSSEC
    4. Pro koho je DNSSEC vhodný
  5. Jak DNSSEC aktivovat
    1. Doména a nameservery u Váš Hosting
    2. Domény registrované u jiného registrátora
  6. Jak ověřit, že DNSSEC funguje
    1. Ověření online nástrojem
    2. Ověření přes terminál (pro pokročilé)
  7. Řešení problémů
    1. Web přestal fungovat po aktivaci DNSSEC
    2. Online nástroj hlásí chybu, ale web funguje
    3. DNSSEC a přesun domény k jinému registrátorovi
    4. Příkaz dig nezobrazuje příznak ad ani RRSIG