Nacházíte se zde: Úvod » Pro zákazníky » Nápověda » DNSSEC

DNSSEC


nahoru

Informace k DNSSEC

DNSSEC (Domain Name System Security Extensions) je řešení pro zabezpečení DNS proti podvržení a manipulaci. Pomocí elektronického podpisu umožňuje ověřit původ a integritu DNS dat.

Klíčové vlastnosti implementace DNSSEC na Českém hostingu

  • Každou jednotlivou doménu podepisujeme vlastním klíčem. Je to bezpečnější, než běžně používané řešení se sdíleným klíčem.
  • Pro šifrování používáme moderní silný algoritmus ECDSA založený na eliptických křivkách (konkrétně ECDSA_P256_SHA256).
  • Potřebná nastavení domény provedeme automaticky, uživatel se nemusí o nic starat.
  • Automaticky a pravidelně provádíme obměnu klíčů každé domény.
  • Podporujeme automatickou konfiguraci DNSSEC pomocí záznamů CDS a CDNSKEY.
  • DNSSEC nabízíme pro všechny top-level domény, které tuto technologii podporují. Z naší standardní nabídky je to aktuálně asi polovina domén. Ty nejpopulárnější (.cz, .eu, .com, .net., org, .info) jsou mezi nimi, ale třeba doména .sk zatím DNSSEC nepodporuje.

Ovládání DNSSEC je k dispozici v klientské sekci, ve správě příslušné domény v části DNS. Doba aktivace DNSSEC se liší podle jednotlivých domén od několika málo minut (např. u domén .eu, .com nebo .cz v naší správě) až po týden (domény .cz s využitím automatické konfigurace pomocí CDNSKEY). Pravidelná obměna klíče je provedena během několika dní (jedná se o sérii postupně provedených změn). Taktéž plná deaktivace DNSSEC vyžaduje několik dní, aby se všechny změny mohly náležitě projevit, a nedošlo přitom k výpadku fungování domény.


nahoru

Podmínky používání DNSSEC

Cílem naší implementace DNSSEC je nabídnout opravdu bezpečné, funkční a přitom jednoduše použitelné řešení. K aktivaci a používání této technologie u nás se vztahují dvě základní podmínky:

  1. Aktivace DNSSEC je možná u domény, která je funkční a používá naše nameservery.
  2. Podmínkou používání DNSSEC je, aby příslušná doména byla v naší správě (tzn. není možné u domény, kterou spravuje jiný poskytovatel). Důvodem je nutnost přístupu do registru dané domény kvůli průběžnému automatickému nastavování DNS klíčů (při aktivaci, obnovách, případně deaktivaci).
    Tato podmínka neplatí u domén .cz, u nichž používáme automatickou konfiguraci pomocí CDNSKEY (jiné domény tuto funkci zatím nepodporují). Zde je dostačující přítomnost našeho NSSETu, registr pak potřebné operace s DNS klíči detekuje a zohledňuje sám (aktivaci provede po týdnu od zapnutí v klientské sekci).

Důležité upozornění!

Jakmile přestane platit druhá z výše uvedených podmínek (tzn. doména se zapnutým DNSSEC bude odvedena k jinému správci), neprodleně zrušte námi nastavené DNS klíče! Pokud by se tak nestalo, nebylo by možné v registru zohlednit změnu klíčů při příští pravidelné rotaci, naše DNS servery by přestaly danou doménu podepisovat, a ta by přestala fungovat!

Toto varování neplatí pro .cz domény, u nichž centrální registr DNS klíče nastavuje automaticky podle údajů v našich DNS serverech.

Záznamy pro DNSSEC se stejně jako jiné typy DNS záznamů kešují (tzn. jejich změna či odebrání se v Internetu neprojeví okamžitě). Proto pokud u nějaké domény používáte DNSSEC a plánujete změnit používané nameservery na nějaké cizí, dostatečně dlouho před touto změnou (minimálně 24 hodin, raději ale více) DNSSEC v klientské sekci deaktivujte. Předejdete tím možným problémům s ověřením DNS záznamů těsně po změně nameserverů.


nahoru

Zpět na přehled nápovědy

Další domény za akční ceny

Ocenění Českého hostingu - Nejlepší webhosting PHP + MySQL a Webhosting roku Twitter Českého hostingu

Potřebujete poradit?
Jsme online