Poznámky k vydání

  • Co je nového?
  • Známé problémy
v1.1.5
  • — Nově podporován Firefox 5 až Firefox 11
  • — Okno s nastavením doplňku lze nyní otevřít také přes pravý klik na ikonu klíčku
  • — Vyrovnávací paměť není sdílena mezi okny prohlížeče, pouze mezi záložkami
Nainstalovatv1.1.5

Instalace

Doplněk DNSSEC Validátor je distribuován standardní cestou pomocí webových stránek Mozilla Add-ons.

Podporované prohlížeče

Mozilla Firefox 3.0 a vyšší (testováno na verzích 3.0-11.0)

Podporované platformy

Linux i386, x86_64 (testováno na Debian, Ubuntu, Fedora, CentOS)
Mac OS X 10.5, 10.6 - i386, x86_64 (testováno na Mac OS X 10.5, 10.6)
Windows XP a vyšší - i386 (testováno na Windows 7)

Help icon

Nápověda

DNSSEC Validátor je doplněk do webového prohlížeče Mozilla Firefox, který umožňuje kontrolovat existenci a validitu DNSSEC DNS záznamů u doménového jména v adrese aktuálně zobrazené stránky v okně prohlížeče. Výsledek této kontroly je zobrazována pomocí barevných klíčků a informačních textů přímo v liště s adresou stránky.

Ukázka adresní lišty s DNSSEC Validátorem

Barva klíčku v listě signalizuje zda je doménové jmén zabezpečeno pomocí DNSSEC a zda jsou DNSSEC podpisy validní a doménové jméno je důvěryhodné. Mohou nastat následující situace a klíček může vypadat takto:

Animovaný klíček

Probíhá zjišťování stavu zabezpečení doménového jména DNSSEC technologií.

Šedý klíček
Doménové jméno není zabezpečeno DNSSEC podpisem.

Zelený klíček
Doménové jméno je zabezpečeno pomocí technologií DNSSEC a nedošlo k narušení integrity DNS zprávy při přenosu. Prohlížeč používá IP adresy, které byly DNSSEC Validátorem ověřeny pomocí technologie DNSSEC a jsou důvěryhodné.

Oranžový klíček
Doménové jméno je zabezpečeno technologií DNSSEC, ale používaný DNS server resolver neumí ověřit validitu podpisu.

Červený klíček
POZOR! Doménové jméno je zabezpečeno pomocí technologie DNSSEC, ale došlo buď k pozměnění IP adres, na které se připojuje váš prohlížeč, nebo DNSSEC podpis není validní z jiného důvodu. IP adresa mohla být změněna při přenosu na váš počítač cizím útočníkem, nebo se jedná o konfliktní lokální nastavení vašeho počítače.

Popup okno Podrobnější informace o zabezpečení získáte kliknutím na příslušný klíček. Pokud není zobrazen vůbec, znamená to, že doménové jméno není zabezpečeno pomocí technologie DNSSEC. Bohužel toto nastavení naleznete u většiny doménových jmen. Pokud byste byli rádi, aby doménové jméno, které používáte a je důležité, aby byla zaručena integrita DNS v případě důležitých webových stránek (banky, zpravodajství, státní administrativa, atp.), napište provozovateli stránek, aby zabezpečil své doménové jméno pomocí technologie DNSSEC.

Další prohlížeče

Kromě prohlížeče Firefox nabízíme také obdobné doplňky pro Google Chrome a Internet Explorer. Doporučujeme ovšem použít novou verzi doplňku nesoucí označení DNSSEC Validátor 2.0. Instalační balíčky této verze naleznete zde.

Často kladené otázky

Co je to DNS?

Systém DNS (Domain Name System) funguje jako telefonní seznam ale pro internetové IP adresy. Umožňuje přiřadit k číselné IP adrese určité symbolické jméno, tzv. doménové jméno, které si uživatelé snadno zapamatují a dokáží jej i intuitivně napsat např. do webového prohlížeče (vím, že česká firma se jmenuje XY, do vyhledávače zadám www.XY.cz). Prohlížeč se podobně jako telefon podívá do "seznamu", najde správný záznam a automaticky se připojí na IP adresu, odpovídající doménovému jménu a stránku uživateli zobrazí. Více informací o DNS naleznete na stránkách O doménách a DNS.

Co je to DNSSEC?

DNSSEC je rozšíření systému doménových jmen (DNS), které zvyšuje jeho bezpečnost. DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena. DNSSEC zajistí důvěryhodnost údajů, získaných z DNS. Více informací o technologii DNSSEC naleznete na stránkách Jak funguje DNSSEC?

Co mám dělat pokud mé DNS servery nepodporují DNSSEC?

V případě, že váš poskytovatel připojení neprovozuje DNS servery, které podporují technologii DNSSEC, máte několik možností, jak toto napravit:

  1. Napište svému poskytovateli připojení, aby technologii DNSSEC na svých DNS serverech zprovoznil. Do emailu můžete přiložit odkaz na podrobný návod pro hlavní platformy.

  2. Pokud máte možnost měnit nastavení vašeho systému, můžete použít pro celý váš systém Otevřené DNSSEC Validující Resolvery provozované sdružením CZ.NIC.

  3. Možnosti nastavení Pokud nemáte možnost měnit nastavení vašeho systému, můžete změnit pouze nastavení DNSSEC Validátoru. Otevřete menu Nástroje a vyberte položku Doplňky. Vyberte ze seznamu doplňků DNSSEC Validator a klikněte na tlačítko Nastavení. V nastavení můžete změnit DNS resolvery, které používá DNSSEC Validátor, ze systémových na CZ.NIC ODVR (Open DNSSEC Validating Resolver). Alternativní volba je použití ODVR provozovaných organizací DNS-OARC nebo společností Comcast.

  4. Další možností je zprovoznit DNSSEC validující resolver na vašem lokálním počítači. Tato volba je určena pro zkušenější správce systému, a normálním uživatelům doporučujeme použít CZ.NIC resolvery. V případě použití vlastních DNSSEC validujících resolverů je možné změnit IP adresy používané DNSSEC Validátorem taktéž v nastavení doplňku.

Kde mohu ověřit, zda-li doplněk funguje správně?

Pokud máte nastaveny DNSSEC validující DNS resolvery, můžete na stránkách www.dnssec.cz ověřit, že doménové jméno www.dnssec.cz je podepsáno validním podpisem – měl by se vám zobrazit zelený klíček. Pokud do svého prohlížeče zadáte adresu www.rhybar.cz měl by se vám zobrazit klíček červený – doménové jméno www.rhybar.cz je podepsáno nevalidním podpisem. Klíček oranžový je možné vyzkoušet například na stránkách www.napul.cz.

Chrání doplněk překlad DNS dotazů proti MITM útokům?

Záleží, jakou používáte konfiguraci. DNSSEC Validátor spoléhá na Authenticated Data (AD) bit přijatý od resolveru, který máte zvolený v konfiguraci doplňku. Pokud máte spojení mezi vaším počítačem a resolverem šifrováno (IPsec, ...) nebo resolver je nainstalován přímo na vašem počítači, pak se podvržení DNS záznamů nemusíte obávat.

Kde můžu nastavit body důvěry (důvěryhodné klíče)?

Jelikož DNSSEC Validátor sám o sobě validaci řetězce důvěry (CoT) neprovádí a spoléhá na AD bit přijatý od resolveru, musíte tedy klíče přidat přímo do konfigurace vámi používaného resolveru.

Kde najdu další informace týkající se doplňku?

Další informace zejména technického charakteru najdete na stránce projektu Laboratoří CZ.NIC, kde jsou uvedeny podrobné informace konfigurace doplňku, odkazy na zdrojové kódy, uživatelskou podporu, apod.

Ladění v případě problémů

V about:config najdeme položku extensions.dnssec.debugoutput a dvojklikem ji změníme na "true". Pak Firefox spustíme v terminálu (cmd.exe v případě Windows): 

firefox -no-remote -console -P

Na terminál se budou vypisovat všechny DNS dotazy, přijaté odpovědi od DNS serveru, který je v nastaveních a další ladící informace. Lze zde ověřit třeba jestli server posílá zpátky odpovědi s nastaveným AD bitem, jestli prochází RRSIG záznamy apod.