www.cesky-hosting.cz
DNSSEC
Informace k DNSSEC
DNSSEC (Domain Name System Security Extensions) je řešení pro zabezpečení DNS proti podvržení a manipulaci. Pomocí elektronického podpisu umožňuje ověřit původ a integritu DNS dat.
Klíčové vlastnosti implementace DNSSEC na Českém hostingu
- Každou jednotlivou doménu podepisujeme vlastním klíčem. Je to bezpečnější, než běžně používané řešení se sdíleným klíčem.
- Pro šifrování používáme moderní silný algoritmus ECDSA založený na eliptických křivkách (konkrétně ECDSA_P256_SHA256).
- Potřebná nastavení domény provedeme automaticky, uživatel se nemusí o nic starat.
- Automaticky a pravidelně provádíme obměnu klíčů každé domény.
- Podporujeme automatickou konfiguraci DNSSEC pomocí záznamů CDS a CDNSKEY.
- DNSSEC umožňujeme aktivovat u všech top-level domén, které tuto technologii podporují. Z naší standardní nabídky je to aktuálně asi polovina domén. Ty nejpopulárnější (.cz, .eu, .com, .net., org, .info, .sk) jsou mezi nimi.
Ovládání DNSSEC je k dispozici v klientské sekci, ve správě příslušné domény v části DNS. Doba aktivace DNSSEC se liší podle jednotlivých domén od několika málo minut (např. u domén .eu, .com nebo .cz v naší správě) až po týden (domény .cz s využitím automatické konfigurace pomocí CDNSKEY). Pravidelná obměna klíče je provedena během několika dní (jedná se o sérii postupně provedených změn). Taktéž plná deaktivace DNSSEC vyžaduje několik dní, aby se všechny změny mohly náležitě projevit, a nedošlo přitom k výpadku fungování domény.
Podmínky používání DNSSEC
Cílem naší implementace DNSSEC je nabídnout opravdu bezpečné, funkční a přitom jednoduše použitelné řešení. K aktivaci a používání této technologie u nás se vztahují dvě základní podmínky:
- Aktivace DNSSEC je možná u domény, která je funkční a používá naše nameservery.
-
Podmínkou používání DNSSEC je, aby příslušná doména byla v naší správě (tzn. není možné u domény, kterou spravuje jiný poskytovatel). Důvodem je nutnost přístupu do registru dané domény kvůli průběžnému automatickému nastavování DNS klíčů (při aktivaci, obnovách, případně deaktivaci).
Tato podmínka neplatí u domén .cz, u nichž používáme automatickou konfiguraci pomocí CDNSKEY (jiné domény tuto funkci zatím nepodporují). Zde je dostačující přítomnost našeho NSSETu, registr pak potřebné operace s DNS klíči detekuje a zohledňuje sám (aktivaci provede po týdnu od zapnutí v klientské sekci).
Důležité upozornění!
Jakmile přestane platit druhá z výše uvedených podmínek (tzn. doména se zapnutým DNSSEC bude odvedena k jinému správci), neprodleně zrušte námi nastavené DNS klíče! Pokud by se tak nestalo, nebylo by možné v registru zohlednit změnu klíčů při příští pravidelné rotaci, naše DNS servery by přestaly danou doménu podepisovat, a ta by přestala fungovat!
Toto varování neplatí pro .cz domény, u nichž centrální registr DNS klíče nastavuje automaticky podle údajů v našich DNS serverech.
Záznamy pro DNSSEC se stejně jako jiné typy DNS záznamů kešují (tzn. jejich změna či odebrání se v Internetu neprojeví okamžitě). Proto pokud u nějaké domény používáte DNSSEC a plánujete změnit používané nameservery na nějaké cizí, dostatečně dlouho před touto změnou (minimálně 24 hodin, raději ale více) DNSSEC v klientské sekci deaktivujte. Předejdete tím možným problémům s ověřením DNS záznamů těsně po změně nameserverů.
podpora@cesky-hosting.cz
