DNSSEC je rozšíření systému doménových jmen (DNS), které zvyšuje jeho bezpečnost. DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena. DNSSEC zajistí důvěryhodnost údajů, získaných z DNS. Více o DNSSEC najdete na stránce jak funguje DNSSEC.

Proč potřebujete DNSSEC?

Přestože většina internetových služeb sama o sobě nějaké formy zabezpečení má a uživatelé jsou zvyklí je používat, existuje jedna další hrozba, kterou si málokdo uvědomuje, a kterou dokáže odvrátit pouze DNSSEC.

Všechny internetové služby (e-mail, webové stránky, instant messaging, internetové volání, ...) využívají systém doménových jmen (DNS – Domain name system). Jeho základním principem je to, že umožňuje v adresách těchto služeb používat jména, která jsou srozumitelná a snadno zapamatovatelná pro člověka, namísto čísel, která jsou srozumitelná a potřebná pro počítače. V praxi to pak funguje tak, že kdykoliv uživatel použije jmennou adresu nějaké internetové služby (webové stránky, emailovou adresu atd.), je nutné ji přeložit pomocí DNS na adresu číselnou a na tuto číselnou adresu se pak počítač obrátí, aby se spojil se službou, kterou uživatel chce použít. Více o fungování systému DNS se dozvíte na stránce O doménách a DNS.

V případě, že někdo dokáže podvrhnout číselnou adresu, uživatel se, aniž bude cokoliv tušit, dostane na úplně jiné místo, a vůbec se nespojí se službou, kterou očekával. Může to vypadat třeba jako na následujícím obrázku.

Uživatel napíše do svého prohlížeče adresu, a za normálních okolností vše probíhá zeleně označenou cestou – použije server svého poskytovatele připojení (ISP), a ten z globálního DNS systému získá číselnou adresu, se kterou se uživatel spojí a používá službu, kterou chtěl. V případě, že je však číselná adresa podvržena, pak vše probíhá červeně označenou cestou, a uživatel je spojen s jinou službou, aniž cokoli tuší.

Proč to může být vážný problém? Představte si, že tou službou je elektronický obchod, kam vkládáte číslo karty, nebo je to služba sledující pohyby kurzů akcií, kterou používáte pro své investiční rozhodování, nebo jen odesíláte email s důležitými informacemi. Ani v jednom případě nechcete, aby informace, které získáváte, byly z nedůvěryhodného (podvrženého) zdroje, a naopak aby údaje, které posíláte, nepadly do rukou někomu nepovolanému. A právě to se pomocí zneužití DNS může stát, pokud nejste chráněni pomocí DNSSEC.

Jak se ochránit pomocí DNSSEC?

DNSSEC poskytuje ochranu hned několika způsoby. Důležité je proto především, z jakého pohledu budete zabezpečení zavádět, tedy, zdali jako běžný uživatel internetu, provozovatel internetových služeb či poskytovatel připojení k internetu.

Průvodce zavedením DNSSEC Vám pomůže vybrat tu správnou možnost, vysvětlí Vám všechny potřebné kroky a poskytne návod k jejich provedení.

DNSSEC pro domény .cz a 0.2.4.e164.arpa (ENUM)

Obě domény spravované sdružením CZ.NIC: .cz a ENUM (0.2.4.e164.arpa) umožňují používat DNSSEC pro ochranu záznamů v DNS. Provozní pravidla, kterými se řídí sdružení CZ.NIC při správě DNSSEC klíčů najdete v Provozním manuálu DNSSEC (PDF, 68 kB). Pokud chcete svou doménu ochránit, musíte vygenerovat své DNSSEC klíče, své záznamy podepsat a prostřednictvím určeného registrátora své domény zveřejnit tzv. DS záznamy do registru domén. Postup jak na to najdete v průvodci jak zavést DNSSEC (tento návod je napsán pro domény .cz, ale postup pro domény ENUM je zcela stejný).

CZ.NIC pro obě domény, které spravuje (.cz a .0.2.4.e164.arpa) publikuje DS záznamy k těmto zónám v nadřazených doménách. U domény .cz je to kořenová doména a u domény .0.2.4.e164.arpa je to doména e164.arpa. Pro správné fungování ověřování DNSSEC podpisů je nutná speciální konfigurace rekurzivního serveru. Ta spočívá v přidání klíče nadřazené zóny (případně odpovídajícího DS záznamu) jako základního bodu důvěry do konfiguračního souboru. Konkrétní postup, jak manuálně přidat klíč na Váš server najdete v návodu jak zprovoznit DNSSEC.