Defaults.Exposed

Defaults.Exposed › Zprávy

Únos domény a DNS: jak se domény kradou a jak tu vaši zabezpečit (2026)

Publikováno 2026-07-01

Údaje k 2026-06-29 · metodika v7. Souhrnná data cenzu napříč 261 miliony ohodnocených domén. Únos znamená převzetí kontroly nad DNS nebo registrací vaší domény za účelem přesměrování jejího provozu a pošty. Viz jak hodnotíme.

Únos domény se nedotkne vašeho webu — převezme DNS nebo účet u registrátora, který na něj ukazuje, takže vaši vlastní návštěvníci a e-maily jsou nenápadně přesměrováni na útočníka. Dvě opatření DNS, která riziko nejvíce snižují, patří na webu mezi nejméně nasazená: pouze 1.99 % domén má platné DNSSEC a jen 1.56 % zveřejňuje záznam CAA. Zde je, jak se domény kradou a jak tu vaši zabezpečit.

Jak k únosu domén ve skutečnosti dochází

Koncentrace přidává systémový rozměr

Většina domén se spoléhá na hrstku poskytovatelů DNS, takže jediný incident u poskytovatele má nepřiměřený dosah: největší provozovatel nameserverů sám obsluhuje 15.4 % domén, které používají rozpoznaného poskytovatele, a pět největších dohromady 42.1 %. Koncentrace není chyba, kterou byste mohli odstranit sami, ale je to důvod mít správně nastavená opatření, která skutečně ovládáte. Viz koncentrace nameserverů.

Jak svou doménu zabezpečit

  1. Zabezpečte účet u registrátora — unikátní heslo, silné MFA a zapněte zámek registrátora (zákaz převodu), aby doménu nebylo možné přesunout bez explicitního odemčení.
  2. Zapněte DNSSEC tam, kde ho váš hosting automatizuje — zastaví podvržené odpovědi DNS už u resolveru.
  3. Zveřejněte záznam CAA, který jmenuje pouze certifikační autority, které používáte, aby nebylo možné vydat podvodný certifikát.
  4. Prověřte DNS na visící záznamy — odstraňte záznamy ukazující na zdroje, které již neovládáte.
  5. Nikdy nenechte klíčové domény propadnout — nastavte automatické prodloužení registrace a udržujte kontaktní údaje aktuální, aby vám oznámení o obnově nikdy neuniklo.

Často kladené otázky

Co je únos domény? Převzetí kontroly nad registrací nebo DNS vaší domény za účelem přesměrování jejího webového a e-mailového provozu — aniž by kdy došlo k průniku do vašich skutečných serverů.

Jak se od toho liší únos DNS? Únos DNS konkrétně manipuluje se záznamy, které vaši doménu překládají (převzetím účtu, otrávením cache nebo kompromitací hostingu DNS). DNSSEC chrání před podvrženými odpověďmi; má ho pouze 1.99 % domén.

Jaká je nejlepší jediná ochrana? Zabezpečení účtu u registrátora — unikátní heslo, MFA a zámek proti převodu u registrátora. Většina únosů začíná přístupem k účtu, nikoli důmyslnými útoky.

Zastaví DNSSEC únos? Zastaví jednu důležitou třídu — podvržené/otrávené odpovědi DNS — ale nikoli převzetí účtu u registrátora. Používejte ho společně se zabezpečením účtu a CAA.

Je něco z toho drahé? Ne. Zámek registrátora, DNSSEC i CAA jsou bezplatná nastavení; cenou je disciplína je uplatnit.

Zkontrolujte obranu DNS své domény zdarma

Zjistěte, zda jsou DNSSEC a CAA nasazené a správně nakonfigurované — soukromě a pouze pro vlastníka.

Zkontrolujte svou doménu → · Opravte DNSSEC → · Opravte CAA → · Jak hodnotíme → · Pouze souhrnná data. Data uložena a zpracována v EU.