mobile-alt-solid.svg+420 603 196 637 envelope.svg admin@zoner.cz

Nápověda CZECHIA.COM

Zákaznická a technická podpora 24/7

Jak nastavit DNSSEC

Přihlaste se do zákaznického účtu a v přehledu klikněte na doménu, kterou si přejete zabezpečit. Po rozkliknutí domény se pravé straně stánky zobrazí dostupné akce, kde vyberete možnost DNSSEC. Pokud v detailu domény není tato akce dostupná, tak doména pravděpodobně nemá nastaveny naše nameservery. Alternativně se může stát, že u daného TLD není DNSSEC podporováno.

Tlačítko DNSSEC v dostupných akcích

Pro samotnou aktivaci či deaktivaci stačí kliknout na přepínač Zabezpečit DNS a nějakou dobu počkat. Úpravy v DNS záznamech obecně se nemusí projevit okamžitě.

prepinac DNSSEC

 

DNSSEC u domén, které nemají nastavené naše nameservery

Pokud se jedná o domény .cz, je možné klíče pro DNSSEC zadat pomocí nástroje na detailu domény v sekci Správa domény:

sadaKlicu.png

Pokud se jedná o jiné než .cz domény, pošlete nám prosím autorizovaný požadavek, uveďte tam příslušné DNSSEC klíče a my Vám pomůžeme s nastavením.
 

Co je třeba při vytváření nové sady klíčů pro domény CZ

CZ domény k vytvoření sady potřebují celý veřejný klíč nikoliv jen DS záznam 

Příklad informace s veřejným klíčem:

Public key:
iaxRAXY/SWKGqhSy9hMWPtuqUZJs+9hQgHc/dADogh9vG
ZF3hCCRdqVc L7aNGN+VVP7IHAQLzmGXvjGGwCuxDw==
key flag is KSK (257),
algorithm is ECDSAP256SHA256 (13) 

Příklad informace s DS záznamem (k použítí například u generických domén):
example.com. IN DS 32122 13 1 47936B3CAFF4094ECB650195110F53F2D5EB8CF2
example.com. IN DS 32122 13 2 3B74753AA9E2E8F901C520109DD84E8E567EBAE9CD1DBE40D19EA36865EA9E04

Vysvětlivky jednotlivých položek podpisových záznamů

co znamenají jednotlivé položky v kontextu zabezpečení DNS domén (DNSSEC).
Informace, se týkají DNSSEC a rozdílu mezi veřejným klíčem a DS záznamem, které se používají pro zabezpečení domén.

Veřejný klíč (Public key)

Veřejný klíč je základním stavebním kamenem DNSSEC. Slouží k ověření, že DNS záznamy nebyly po cestě od autoritativního serveru k uživateli pozměněny.
Příklad s veřejným klíčem je pro domény .CZ typický.

  • Public key: iaxRAXY/SWKGqhSy9hMWPtuqUZJs+9hQgHc/dADogh9vGZF3hCCRdqVc L7aNGN+VVP7IHAQLzmGXvjGGwCuxDw==

    • Toto je samotný veřejný klíč v kódování Base64. Používá se pro kryptografické operace, konkrétně pro ověření digitálních podpisů (RRSIG záznamů), které chrání integritu DNS dat. Klient (např. rekurzivní DNS server) použije tento klíč k ověření platnosti podpisů DNS záznamů pro doménu.

  • key flag:

    • V DNSSEC existují dva hlavní typy klíčů:

      • KSK (257): Klíč pro podepisování klíčů. Tento klíč podepisuje ZSK a je klíčem, který se publikuje ve formě DS záznamu u nadřazené domény (např. .CZ). Je to klíč, který se mění zřídka.

      • ZSK (256): Klíč pro podepisování zónových záznamů. Tímto klíčem jsou podepsány všechny ostatní záznamy v doménové zóně (A, AAAA, MX, atd.). Mění se často, typicky každých 30 až 90 dní.

    • 257 je flag (příznak), který v DNS záznamu RRSIG rozlišuje KSK od ZSK.

  • algorithm například: ECDSAP256SHA256 (13):

    • ECDSAP256SHA256 je kryptografický algoritmus, který se používá pro generování a ověřování digitálních podpisů.

    • ECDSA (Elliptic Curve Digital Signature Algorithm) je moderní algoritmus založený na eliptických křivkách, který je bezpečný a efektivní.

    • P256 odkazuje na konkrétní typ křivky.

    • SHA256 je hašovací funkce, která se používá pro vytvoření otisku dat před jejich podepsáním.

    • 13 je číselný kód, který tento algoritmus identifikuje v rámci DNSSEC standardu.

DS záznam (Delegation Signer)

DS záznam je zkrácená verze veřejného klíče. Ve skutečnosti je to kryptografický otisk (digest)  KSK klíče. Tento záznam se publikuje na DNS serverech nadřazené domény (např. u SK-NIC pro domény .SK).

  • example.sk. IN DS 32122 13 1 47936B3CAFF4094ECB650195110F53F2D5EB8CF2

    • example.sk.: Název domény, pro kterou je DS záznam určen.

    • IN DS: Typ DNS záznamu. DS (Delegation Signer) je záznam používaný k propojení domény s jejím DNSSEC klíčem.

    • 32122: Key Tag (identifikátor klíče). Je to krátké číslo, které pomáhá rychle najít odpovídající veřejný klíč v zóně domény.

    • 13: Algorithm Number (číslo algoritmu). Opět, 13 označuje algoritmus ECDSAP256SHA256. Je důležité, aby se shodovalo s algoritmem klíče.

    • 1: Digest Type (typ otisku). Určuje, jaká hašovací funkce byla použita k vytvoření otisku veřejného klíče. 1 značí SHA-1 (který se ale pro bezpečnostní důvody již nedoporučuje). 2 značí SHA-256 (viz další záznam).

    • 47936B3CAFF4094ECB650195110F53F2D5EB8CF2: Digest (otisk klíče). Jedná se o kryptografický otisk (hash) KSK klíče, který slouží k ověření, že klíč publikovaný v doméně je ten, který byl delegován.

  • example.sk IN DS 32122 13 2 3B74753AA9E2E8F901C520109DD84E8E567EBAE9CD1DBE40D19EA36865EA9E04

    • Tento záznam je stejný, jen používá modernější Digest Type 2 (SHA-256), což je bezpečnější varianta.

Proč .CZ domény potřebují celý klíč a ne jen DS záznam?

Registr .CZ (CZ.NIC) je specifický. Na rozdíl od mnoha generických TLD (top-level domains), jako je .com, kde registrátor publikuje pouze DS záznam, CZ.NIC vyžaduje k nastavení DNSSEC celé informace o klíči, včetně algoritmu, KSK flagu a samotného veřejného klíče. Z DS záznamu se nedá zpětně získat původní veřejný klíč. CZ.NIC si z dodaných informací sám generuje potřebný DS záznam pro publikaci v zóně .CZ.
To zjednodušuje proces pro držitele domén, protože nemusí počítat DS záznamy ručně.