DNSSEC

DNSSEC (Domain Name System Security Extensions) je řešení pro zabezpečení DNS proti podvržení a manipulaci. Pomocí elektronického podpisu umožňuje ověřit původ a integritu DNS dat.

Klíčové vlastnosti implementace DNSSEC na Českém hostingu

• Každou jednotlivou doménu podepisujeme vlastním klíčem. Je to bezpečnější, než běžně používané řešení se sdíleným klíčem.
• Pro šifrování používáme moderní silný algoritmus ECDSA založený na eliptických křivkách (konkrétně ECDSA_P256_SHA256).
• Potřebná nastavení domény provedeme automaticky, uživatel se nemusí o nic starat.
• Automaticky a pravidelně provádíme obměnu klíčů každé domény.
• Podporujeme automatickou konfiguraci DNSSEC pomocí záznamů CDS a CDNSKEY.
• DNSSEC umožňujeme aktivovat u všech top-level domén, které tuto technologii podporují. Z naší standardní nabídky je to aktuálně asi polovina domén. Ty nejpopulárnější (.cz, .eu, .com, .net., org, .info, .sk) jsou mezi nimi.

Ovládání DNSSEC je k dispozici v klientské sekci, ve správě příslušné domény v části DNS. Doba aktivace DNSSEC se liší podle jednotlivých domén od několika málo minut (např. u domén .eu, .com nebo .cz v naší správě) až po týden (domény .cz s využitím automatické konfigurace). Pravidelná obměna klíče je provedena během několika dní (jedná se o sérii postupně provedených změn). Taktéž plná deaktivace DNSSEC vyžaduje několik dní, aby se všechny změny mohly náležitě projevit, a nedošlo přitom k výpadku fungování domény.

Cílem naší implementace DNSSEC je nabídnout opravdu bezpečné, funkční a přitom jednoduše použitelné řešení. K aktivaci a používání této technologie u nás se vztahují dvě základní podmínky:

1. Aktivace DNSSEC je možná u domény, která je funkční a používá naše nameservery.
2. Podmínkou používání DNSSEC je, aby příslušná doména byla v naší správě (tzn. není možné u domény, kterou spravuje jiný poskytovatel). Důvodem je nutnost přístupu do registru dané domény kvůli průběžnému automatickému nastavování DNS klíčů (při aktivaci, obnovách, případně deaktivaci).
   Tato podmínka neplatí u domén .cz, u nichž používáme automatickou konfiguraci pomocí CDNSKEY (jiné domény tuto funkci zatím nepodporují). Zde je dostačující přítomnost našeho NSSETu, registr pak potřebné operace s DNS klíči detekuje a zohledňuje sám (aktivaci provede po týdnu od zapnutí v klientské sekci).
   U domén .cz je tedy možné DNSSEC používat i v případě, že doménu spravuje jiný poskytovatel. Nicméně používání DNSSEC je v tomto případě na zvážení, neboť nese riziko komplikací při řešení případných problémů. Fungování je totiž plně závislé na třetí straně zcela bez možnosti našeho promptního zásahu.

Záznamy pro DNSSEC se stejně jako jiné typy DNS záznamů kešují (tzn. jejich změna či odebrání se v Internetu neprojeví okamžitě). Proto pokud u nějaké domény používáte DNSSEC a plánujete změnit používané nameservery na nějaké cizí, dostatečně dlouho před touto změnou (minimálně 1 hodinu, raději ale více) DNSSEC v klientské sekci deaktivujte. Předejdete tím možným problémům s ověřením DNS záznamů těsně po změně nameserverů.

Doména .cz jako jedna z prvních na světě podporuje automatickou konfiguraci DNSSEC pomocí záznamu CDNSKEY. Ta funguje tak, že registr automaticky průběžně testuje všechny domény, a pokud detekuje zmíněné DNS záznamy, nastaví (případně upraví) podle nich příslušný DNS klíč (či klíče) automaticky. I my tuto užitečnou funkcionalitu (jako jeden z mála hostingových poskytovatelů) podporujeme.

Konkrétně u .cz domén probíhá testování každý den. Pokud CZ.NIC sedm dní po sobě úspěšně ověří přítomnost CDNSKEY záznamu, automaticky vytvoří keyset s příslušným klíčem (identifikátor keysetu v registru začíná AUTO-), a přiřadí jej dané doméně. Pokud již doména nějaký keyset má, je nahrazen. Obdobně funguje i obnova klíčů - pokud registr zaznamená CDNSKEY záznamy u domény, která už má DNSSEC aktivní, přiřadí jí automatický keyset, případně upraví údaje v něm (je-li již přiřazen). Bližší informace případně najdete na webu CZ.NIC.

Pro urychlení aktivace DNSSEC (tedy aby se nemuselo týden čekat) vytvoříme a doméně přiřadíme dočasný keyset vlastní. Ten bude nahrazen automatickým keysetem nejpozději při první obnově DNS klíčů (tedy za rok). U domén, které nejsou v naší správě, se rovnou nastaví automatický keyset, ale až za týden po zapnutí DNSSEC v klientské sekci.

Pokud je doména administrativně uzamčena proti změnám, nebude možné jí přiřadit automaticky vytvořený keyset. Aktivace DNSSEC tak neproběhne. Horší důsledky má tato situace při obnově klíčů - doména totiž přestane fungovat, protože už nebude odpovídat klíč v registru a v nameserverech. Proto doménu před aktivací nebo první obnovou DNSSEC (tedy pokud ještě nemá přiřazený automatický keyset) odemkněte.