DNSSEC

DNSSEC
Domain Name System Security Extensions

DNS je jedním ze základních kamenů fungování Internetu, který byl vyvinut už velmi dávno, když byl Internet o mnoho bezpečnější místo a v dnešní době už proto není dostačující.
Za účelem zvýšení bezpečnosti systému DNS bylo vyvinuto rozšíření DNSSEC, které zabraňuje některým typům útoků na bezpečnost dat.
Současný systém DNS totiž neověřuje, že získané data skutečně přišly ze správného serveru.
DNSSEC poskytuje uživatelům jistotu, že informace získané přes DNS boly poskytnuté správným zdrojům, jsou úplné a jejich integrita nebyla v době spojení narušena. DNSSEC tak zajistí důvěryhodnost údajů získaných přes DNS.

Aktuálně nabízíme DNSSEC pre .EU domény. SK-NIC podporu pro DNSSEC pro .SK domény zatím jen plánuje, mnohé jiné zahraniční i nadnárodní domény však DNSSEC už dávno podporují. Připravujeme proto DNSSEC i pro jiné domény, nejbližší by měla být .CZ doména.

Technické podrobnosti

Všechny internetové služby (webové stránky, e-mail…) pro svou funkčnost potřebují systém DNS.
Jeho základní funkcí je překlad pro člověka lehce zapamatovatelných doménových jmen, například exohosting.cz, na číselné adresy (IP adresy), kterým rozumějí zařízení v síti Internet.
V praxi to funguje tak, že když uživatel zadá doménové jméno nějaké internetové služby (webová stránka, e-mail…), počítač pomocí DNS přeloží doménové jméno na číselnou adresu, na kterou se následně obrátí, aby se spojil se službou, kterou chce uživatel využít.
Do toho to procesu však může vstoupit útočník a zaměnit číselnou adresu za jinou a uživatel se tak dostane na úplně jiné místo.

DNSSEC používá asymetrickou kryptografii – pro zašifrování obsahu se používá jiný klíč než na dešifrování.
Držitel domény (nebo registrátor) vygeneruje dvojici soukromého a veřejného klíče. Soukromým klíčem se následně podepíšou technické údaje domény, které jsou vkládány do DNS.
Pravost tohoto podpisu je možné ověřit jen pomocí veřejného klíče. Veřejný klíč držitel domény (registrátor) publikuje u nadřazené autority pro danou doménu, kterou je pro .EU domény správce této domény, sdružení EURid.
I na úrovni registru domén jsou technické údaje v DNS podepsány a veřejný klíč k tomuto podpisu je poskytnutý nadřazené autoritě.
Když není tato postupnost v žádném svém článku porušena a všechny elektronické podpisy souhlasí, vytvoří se řetěz („chain of trust“), která zajistí důvěryhodnost údajů.

Pro ověření DNSSEC na konkrétní doméně můžete použít například oveřovač od Verisign:
http://dnssec-debugger.verisignlabs.com/

Můžete také využít rozšíření pro prohlížeče od sdružení CZ.NIC – správce domény .CZ:
https://labs.nic.cz/en/dnssec-validator-2-0-for-browsers.html

Sdílejte

ZANECHAT ODPOVĚĎ

Please enter your comment!
Please enter your name here

*