Slovníček IT pojmů 8: Co je DNSSEC a jak funguje?
Chcete-li si pořídit vlastní www stránky, dřív nebo později na tyto pojmy narazíte. Abyste chápali jejich význam, připravili jsme pro vás Slovníček IT pojmů, který vám je popořadě vysvětlí. Tentokrát si povíme, co je DNSSEC zabezpečení a jak chrání vaše brouzdání po internetu.
DNSSEC je jako sekuriťák před dveřmi DNS serveru
DNSSEC (Domain Name System Security) má v podstatě stejnou funkci jako HTTPS protokol, o němž tu byla řeč naposledy – jen na vyšší úrovni. Představte si jej jako sekuriťáka, který stojí před dveřmi samotného DNS serveru a kontroluje IP adresy všech domén.
Chrání návštěvníky webů před takzvanými MITM útoky (z angl. Man in the Middle čili prostředník). Při nich se hackeři snaží nabourat do DNS serveru a vmísit se do komunikace mezi ním a vaším počítačem.
Co se děje při Man in the Middle útoku
Pokaždé, když se chcete na internetu podívat na nějaký web, musí váš počítat od DNS zjisit IP adresu serveru, na kterém se daný web „fyzicky“ nachází (tzn. kde má webhosting).
Kdyby se hackerům podařilo na DNS dostat, mohli by vás jednoduše přesměrovat, kam by chtěli. Třeba na kopii vámi hledaného webu.
Doména i URL adresa budou na venek stejné, takže vy nic nepoznáte. Majitelem zkopírovaného webu bude ale hacker.
MITM útoky jsou typické pro e‑shopy, kde hackeři od nic netušících návštěvníků inkasují peníze za nákupy.
MITM útoky jsme vysvětlovali také v předchozím článku o SSL certifikátech.
DNSSEC je v podstatě elektronický podpis. V řeči IT je to další DNS záznam u domény, který ověřuje její pravost. Ten je chráněný dvojím, asymetrickým šifrováním:
- Majitel domény má svůj privátní klíč, kterým „podepíše“ údaje o své doméně.
- U správce domény je pak uložen veřejný klíč, s jehož pomocí se tento podpis dá ověřit.
Jak funguje DNSSEC na svých stránkých hezky vysvětluje CZ. NIC a zmiňuje seznam registrátorů, u nichž DNSSEC dostanete (těší nás, že Webglobe je v první trojce).
Česká republika patří mezi premianty v užívání DNSSEC. Jako jedni z mála jej používáme pro svou TLD (národní doménu .CZ). I tak je podle posledního v ČR pomocí DNSSEC zabezpečeno jen 59,5 % domén (údaj pochází z posledního Domain reportu za rok 2021, vydaného sdružením CZ. NIC).
Jak poznáte, že web má DNSSEC ochranu?
Mít na doméně DNSSEC je výhodné pro všechny:
- Návštěvníkům zajišťuje bezpečnost jejich dat a osobních údajů.
- Majitelům webových stránek dodává na důvěryhodnosti a také chrání jejich zisky.
K tomu, aby DNSSEC fungovalo opravdu spolehlivě, je potřeba oboustranné zabezpečení.
Chraněná musí být doména daného webu i doména počítače (každé zařízení připojené k internetu získává svou doménu a IP adresu – počítačům a telefonům ji zpravidla automaticky přiděluje operátor nebo poskytovatel WiFi).
CZ. NIC zřídil speciální web dnssec.cz, kde si můžete udělat rychlý DNSSEC test svého připojení k internetu i zabezpečení domény.
DNSSEC je zdarma – aktivujte si ho u svého poskytovatele domény
DNSSEC můžete získat při registraci nové .CZ domény zcela zdarma. Je však nutné si jej následně aktivovat.
Ve většině případů je to otázka pár kliků.
Například u Webglobe stačí v zákaznickém účtu u dané domény otevřít záložku DNS záznamy, vybrat DNSSEC a kliknout na aktivovat.
