DNSSEC
DNSSEC je rozšíření služby DNS, která má za cíl zvyšovat bezpečnost služby doménových jmén tím, že zabraňuje podvržení údajů falešnými či pozměněnými údaji o doméných jménech. Nezajišťuje však zašifrování (utajení) přenášených dat a nezaručuje jejich dostupnost.
Sdružení CZ.NIC, správce domény CZ, patří mezi přední inovátory při nasazování DNSSEC. Na stránkách www.dnssec.cz publikuje velké množství informací o službě DNSSECu. Pokud se chcete o problematice dozvědět více, doporučujeme návštěvu těchto stránek.
Není-li služba DNS zabezpečena pomocí DNSSEC, pak poskytuje prostor pro potenciálního útočníka na mnoha místech. Útočník tak může například:
- získávat cizí e-maily
- pomocí falešných webových stránek získávat hesla, přístupové kódy či údaje o platebních kartách apod.
- obcházet antispamovou ochranu v DNS a spam posílat
- podvrhnout zprávy a informace na webových stránkách
- přesměrovávat či odposlouchávat telefonní hovory, vedené přes internet.
Problémem je to, že uživatel nemá ve valné většině případů vůbec šanci rozpoznat, že se děje něco špatného. Díky DNSSEC tak získává jistotu, že informace, které z DNS počítač čerpá, jsou poskytnuty z toho správného zdroje a nejsou podvržené, změněné, přesměrované či jinak upravené. DNSSEC tak zajišťuje důvěryhodnost získaných údajů z DNS.
Podporujeme ECDSA v DNSSEC
Od prosince 2016 jsme přešli na nejnovější a nejbezpečnější algoritmus pro šifrování dat v DNS, na protokol digitálního podpisu s využitím eliptických křivek (ECDSA).
Argumenty pro ECDSA (eliptické křivky)
- Výrazně vyšší míra bezpečnosti při menší bitové délce klíče oproti klasickým RSA.
- Vyšší míra bezpečnosti ECDSA klíčů umožňuje snížit frekvenci rotací klíčů oproti RSA klíčům.
- Menší velikosti podpisů v DNS omezují dopad DDoS útoků typu DNS Amplification Attack, taktéž se snižuje riziko fragmentace paketů a ztráty odpovědí v případě chybně nakonfigurovaných firewallů.
- Podepisování zón algoritmem ECDSA je výrazně rychlejší než v případě RSA. To umožňuje zjednodušit management klíčů a v budoucnu přejít na online podepisování.
Kontrola podepsání domény
Stav podpisu zóny, klíčů a celého řetězu důvěry lze nejlépe zjístit za použití specializovaných webových utilit např.: DNSSEC Validator
Jak aktivovat DSSEC
Služba DSSEC lze aktivovat přes centrum své administrace, kde máte možnost u jednotlivých domén toto zabezpečení spustit. Bližší informace se dozvíte v sekci administrace: https://napoveda.czechia.com/clanek/nastaveni-dnssec/