Jak funguje DNSSEC

Podobně jako jiné služby, které internet nabízí, i systém doménových jmen (DNS – Domain Name System) byl vytvořen v době, kdy bylo k internetu připojeno pouze malé množství uzlů a provozovatelé těchto uzlů se vzájemně znali. Vzhledem k tomu, do jaké míry později internet narostl co do počtu připojených lidí a počítačů, bylo nutné začít řešit otázku bezpečnosti jednotlivých služeb. Všichni uživatelé internetu se už neznají a je smutným faktem, že ne všichni se k němu připojují s bohulibými úmysly.

DNSSEC je rozšíření systému DNS, které zvyšuje bezpečnost služby doménových jmen. Principem DNS je překlad jmenných internetových adres, jako například www.nic.cz nebo www.dobradomena.cz, na adresy číselné, kterým počítače rozumějí a jejichž pomocí dokážou zajistit zobrazování webových stránek, odesílání e-mailů, telefonování po internetu a další běžné internetové služby. DNSSEC zvyšuje bezpečnost při používání DNS tím, že zabraňuje podvržení falešných, pozměněných či neúplných údajů o doménových jménech.

Služba DNS, není-li zabezpečena pomocí DNSSEC, poskytuje potencionálnímu útočníkovi několik míst, na kterých je možné komunikaci narušit a zfalšovat údaje. Tím, že útočník změní údaje o doménových jménech, ovlivní fungování dalších internetových služeb, které může tímto zásahem zneužít. Útočník pak může například:

  • získávat cizí e-maily
  • pomocí falešných webových stránek získávat hesla, přístupové kódy či údaje o platebních kartách apod.
  • obcházet antispamovou ochranu v DNS a spam posílat
  • podvrhnout zprávy a informace na webových stránkách
  • přesměrovávat či odposlouchávat telefonní hovory, vedené přes internet.

Uživatel přitom nemá ve většině případů šanci poznat, že se děje něco nekalého. Díky zavedení DNSSEC získá jeho uživatel jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena. DNSSEC zajistí důvěryhodnost údajů, získaných z DNS.

Jak DNSSEC funguje?

DNSSEC zavádí DNS asymetrickou kryptografii – tedy používání jednoho klíče na zašifrování a jiného klíče na dešifrování obsahu. Obdobný princip je základem známějšího šifrování zpráv pomocí PGP či podepisování e-mailů elektronickým podpisem. V případě DNSSEC si držitel domény vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu. Aby byl tento klíč dostupný všem, publikuje jej držitel ke své doméně u nadřazené autority, kterou je pro všechny domény .cz registr domén .cz. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě. Vytváří se tak řetěz, který zajistí důvěryhodnost údajů, pokud není v žádném svém článku porušen, a všechny elektronické podpisy souhlasí, viz následující schéma.

Schéma DNSSEC

Co se změní se zavedením DNSSEC?

DNSSEC je se stávajícím DNS zpětně kompatibilní a obě varianty fungují současně. Pro běžného uživatele se tedy okamžikem zavedení DNSSEC pro domény .cz nezmění pravděpodobně nic. A to až do momentu, dokud se na příslušném DNS serveru nezačne DNSSEC používat. To může být v případě expertů přímo na uživatelově počítači, v případě firem na firemním serveru a v případě běžných uživatelů na serveru jejich poskytovatele internetového připojení. Poskytovatelům služeb a obsahu pak DNSSEC nabízí možnost zvýšit bezpečnost a důvěryhodnost svých služeb. Pro zavedení DNSSEC budou potřebovat, aby byly zajištěny digitální podpisy jejich DNS údajů a příslušné šifrovací klíče publikovány do registru domén .cz.