Nacházíte se zde: Úvod » Pro zákazníky » Nápověda » DNSSEC

DNSSEC

nahoru

Informace k DNSSEC

DNSSEC (Domain Name System Security Extensions) je řešení pro zabezpečení DNS proti podvržení a manipulaci. Pomocí elektronického podpisu umožňuje ověřit původ a integritu DNS dat.

Klíčové vlastnosti implementace DNSSEC na Českém hostingu

  • Každou jednotlivou doménu podepisujeme vlastním klíčem. Je to bezpečnější, než běžně používané řešení se sdíleným klíčem.
  • Pro šifrování používáme moderní silný algoritmus ECDSA založený na eliptických křivkách (konkrétně ECDSA_P256_SHA256).
  • Potřebná nastavení domény provedeme automaticky, uživatel se nemusí o nic starat.
  • Automaticky a pravidelně provádíme obměnu klíčů každé domény.
  • Podporujeme automatickou konfiguraci DNSSEC pomocí záznamů CDS a CDNSKEY.
  • DNSSEC nabízíme pro všechny top-level domény, které tuto technologii podporují. Z naší standardní nabídky je to aktuálně asi polovina domén. Ty nejpopulárnější (.cz, .eu, .com, .net., org, .info) jsou mezi nimi, ale třeba doména .sk zatím DNSSEC nepodporuje.

Ovládání DNSSEC je k dispozici v klientské sekci, ve správě příslušné domény v části DNS. Doba aktivace DNSSEC se liší podle jednotlivých domén od několika málo minut (např. u domén .eu, .com nebo .cz v naší správě) až po týden (domény .cz s využitím automatické konfigurace pomocí CDNSKEY). Pravidelná obměna klíče je provedena během několika dní (jedná se o sérii postupně provedených změn). Taktéž plná deaktivace DNSSEC vyžaduje několik dní, aby se všechny změny mohly náležitě projevit, a nedošlo přitom k výpadku fungování domény.

nahoru

Podmínky používání DNSSEC

Cílem naší implementace DNSSEC je nabídnout opravdu bezpečné, funkční a přitom jednoduše použitelné řešení. K aktivaci a používání této technologie u nás se vztahují dvě základní podmínky:

  1. Aktivace DNSSEC je možná u domény, která je funkční a používá naše nameservery.
  2. Podmínkou používání DNSSEC je, aby příslušná doména byla v naší správě (tzn. není možné u domény, kterou spravuje jiný poskytovatel). Důvodem je nutnost přístupu do registru dané domény kvůli průběžnému automatickému nastavování DNS klíčů (při aktivaci, obnovách, případně deaktivaci).
    Tato podmínka neplatí u domén .cz, u nichž používáme automatickou konfiguraci pomocí CDNSKEY (jiné domény tuto funkci zatím nepodporují). Zde je dostačující přítomnost našeho NSSETu, registr pak potřebné operace s DNS klíči detekuje a zohledňuje sám (aktivaci provede po týdnu od zapnutí v klientské sekci).

Důležité upozornění!

Jakmile přestane platit druhá z výše uvedených podmínek (tzn. doména se zapnutým DNSSEC bude odvedena k jinému správci), neprodleně zrušte námi nastavené DNS klíče! Pokud by se tak nestalo, nebylo by možné v registru zohlednit změnu klíčů při příští pravidelné rotaci, naše DNS servery by přestaly danou doménu podepisovat, a ta by přestala fungovat!

Toto varování neplatí pro .cz domény, u nichž centrální registr DNS klíče nastavuje automaticky podle údajů v našich DNS serverech.

Záznamy pro DNSSEC se stejně jako jiné typy DNS záznamů kešují (tzn. jejich změna či odebrání se v Internetu neprojeví okamžitě). Proto pokud u nějaké domény používáte DNSSEC a plánujete změnit používané nameservery na nějaké cizí, dostatečně dlouho před touto změnou (minimálně 24 hodin, raději ale více) DNSSEC v klientské sekci deaktivujte. Předejdete tím možným problémům s ověřením DNS záznamů těsně po změně nameserverů.

nahoru

Zpět na přehled nápovědy

Akce .cz 125 Kč
Akce .sk 330 Kč
Akce .com 210 Kč
Akce .eu 75 Kč

Další domény za akční ceny

Ocenění Českého hostingu - Nejlepší webhosting PHP + MySQL a Webhosting roku Twitter Českého hostingu
Zákaznická podpora je nyní off-line