Defaults.Exposed › Opravy › DNSSEC

Jak opravit DNSSEC

DNSSEC je digitální pečeť na adresáři vaší domény. Umožňuje internetu prokázat, že odpověď na otázku 'kde tato doména žije?' skutečně pochází od vás a nebyla po cestě pozměněna. Bez ní může být odpověď zfalšována — a vaši návštěvníci tiše odesláni někam jinam.

Výsledek pro vaše podnikání: Bez DNSSEC může útočník, který otrávit DNS odpověď, nasměrovat vaše zákazníky na dokonalou kopii vašeho webu, zatímco jejich prohlížeč stále zobrazuje vaše skutečné doménové jméno. Přihlašovací údaje, čísla karet a osobní data jsou sbírána a vy se to dozvíte jen z chargebacků a stížností. Rozbitá, napůl hotová DNSSEC konfigurace je ještě horší: může způsobit, že váš web bude pro rostoucí část návštěvníků nedostupný bez jakékoliv chyby, které byste si všimli.

Co vás to může stát

• Návštěvníci zadávající vaši skutečnou doménu jsou tiše přesměrováni na imitaci, která zachycuje jejich heslo a údaje o kartě — a protože adresní řádek zobrazuje vaši doménu po celou dobu, nikdo nic nepodejme, dokud nepřijdou hlášení o podvodu.
• Váš e-mail je tiše přesměrován: útočník zfalšuje odpověď pro vaše poštovní servery, přečte nebo zachytí zprávy a obnoví hesla na účtech, které vám e-mailem pošlou kód — vše bez dotyku vaší schránky.
• Napůl nakonfigurovaná DNSSEC konfigurace (veřejná pečeť existuje, ale odpovídající klíč chybí) způsobuje, že váš web a e-mail náhodně selhávají pro zákazníky na velkých ISP a podnikových sítích — přerušované zprávy 'váš web je pro mě nedostupný', které nemůžete reprodukovat.
• Bezpečnostní tým potenciálního zákazníka spustí předsmluvní kontrolu, neuvidí DNSSEC a označí vás jako slabé v základech — ohrožujíce obchod kvůli bezplatnému nastavení.
• Veřejný sektor a větší B2B kupující stále více očekávají DNSSEC jako základ (je jmenován v regulacích jako NIS2); jeho absence vás tiše diskvalifikuje z tendrů, než konverzace vůbec začne.

Proč na tom záleží. DNS je adresář internetu a ve výchozím nastavení jeho odpovědi cestují nepodepsané — kdokoliv, kdo může vložit zfalšovanou odpověď, může vaše zákazníky a váš e-mail poslat kamkoliv si přeje, přičemž vaše skutečná doména stále zobrazuje v prohlížeči. DNSSEC vloží pečeť odolnou vůči neoprávněné manipulaci na tyto odpovědi, takže je lze ověřit jako skutečně vaše. Oprava je zdarma u většiny poskytovatelů; jediné skutečné náklady jsou dělat to špatně, proto pečlivě procházíme oběma polovinami.

DNSSEC, prostými slovy

Pokaždé, když někdo navštíví váš web nebo vám pošle e-mail, jejich počítač se nejprve zeptá internetu na jednoduchou otázku: “kde tato doména vlastně žije?” Odpověď — sada adres pro váš web a vaše poštovní servery — přichází zpět z DNS, adresáře internetu.

Zde je nepříjemná část: ve výchozím nastavení tyto odpovědi cestují nepodepsané. Není k nim připojeno nic, co by prokazovalo, že odpověď je pravá. Pokud někdo může vložit zfalšovanou odpověď do tohoto rozhovoru — a existují dobře známé, prokázané způsoby, jak přesně to udělat — počítač vašeho návštěvníka ji ochotně přijme. Od toho okamžiku může návštěvník hovořit se serverem útočníka, zatímco jejich prohlížeč stále zobrazuje vaše doménové jméno v adresním řádku.

DNSSEC je oprava. Přidává pečeť odolnou vůči neoprávněné manipulaci k vašim DNS odpovědím. Když je DNSSEC zapnuto, internet může matematicky ověřit, že odpověď skutečně pochází od vás a nebyla po cestě pozměněna. Zfalšovaná odpověď selže kontrolu a je vyhozena. Je to rozdíl mezi adresářem, do kterého může kdokoliv čmárat, a takovým, kde je každý záznam podepsán a svědčeno.

Tato stránka pokrývá dvě části, na které naše kontrola společně pohlíží: zda je pečeť zveřejněna (DS záznam) a zda za ní skutečně existuje odpovídající klíč (DNSKEY záznam). Brzy uvidíte, proč záleží na obojím — protože mít jedno bez druhého je svůj vlastní druh problémů.

Co vás to může stát

Toto jsou realistické, souhrnné vzory — nikoli jakákoliv pojmenovaná firma.

• Neviditelné přesměrování. Útočník otráví DNS odpověď pro vaši doménu. Zákazníci zadají vaši skutečnou webovou adresu, vidí vaši skutečnou doménu v řádku a přistanou na dokonalé kopii vaší přihlašovací nebo pokladní stránky hostované útočníkem. Každé heslo a číslo karty, které zadají, jde přímo zločinci. Slyšíte o tom pouze tehdy, když začnou chargebacky a hovory “byl jsem napaden přes váš web” — a stopa vede zpět k vaší značce, nikoli k útočníkově.
• Tichá interceptace e-mailu. DNS neukazuje jen na váš web; ukazuje na vaše poštovní servery. Zfalšujte tuto odpověď a příchozí e-mail může být přesměrován přes útočníka jako první. Čtou citlivé zprávy, sbírají jednorázové kódy, které služby e-mailují pro “ověření jste to vy” a obnovují hesla na účtech vázaných na vaši doménu — vše bez přihlášení do vaší poštovní schránky.
• Výpadek, který nemůžete reprodukovat. Tento přichází z napůl hotové DNSSEC konfigurace. Veřejná pečeť (DS) sedí u vašeho registrátora, ale odpovídající klíč (DNSKEY) chybí nebo nesouhlasí. Návštěvníci na ISP a podnikových sítích, kteří kontrolují DNSSEC — a každý rok je jich více — jednoduše nemohou váš web vůbec rozlišit. Váš web a e-mail fungují dobře pro vás a vaše techniky, ale část skutečných zákazníků dostane “tento web nelze dosáhnout” bez chyby, kterou můžete vidět. Je to jeden z nejobtížnějších problémů k diagnostice právě proto, že je zevnitř neviditelný.
• Ztracený obchod. Bezpečnostní nebo nákupní tým potenciálního zákazníka spustí rutinní předsmluvní sken vaší domény. Žádné DNSSEC se zobrazí jako červená skvrna na “základy DNS bezpečnosti.” Pro bezplatný, dobře pochopený ovládací prvek jeho absence čte jako nedbalost — a může vás tiše stát smlouvu, u které jste nikdy nevěděli, že je v ohrožení.
• Tendr, pro který se ani nekvalifikujete. Regulace a kontrolní seznamy kupujících stále více jmenují DNSSEC jako očekávanou základní hygienu (je odkazováno pod ustanoveními DNS-bezpečnosti NIS2). Větší B2B a veřejný sektor vás mohou filtrovat, než prodejní konverzace začne, jednoduše proto, že políčko není zaškrtnuto.

Co to skutečně je

DNSSEC funguje jako řetěz důvěry a má dvě pohyblivé části, které musí souhlasit. Toto je jádro toho, proč naše kontrola pohlíží na dvě věci.

DNSKEY — váš klíč. Váš DNS poskytovatel drží kryptografický klíč a používá ho k podepisování vašich DNS záznamů. Veřejná polovina tohoto klíče je zveřejněna jako DNSKEY záznam. Přemýšlejte o tom jako o razítku pečeti drženém na vaší straně.

DS záznam — otisk, který ručí za klíč. Krátký otisk tohoto klíče, nazvaný DS (Delegation Signer) záznam, je zveřejněn o úroveň výše — u registru vaší domény, prostřednictvím vašeho registrátora. Toto je to, co umožňuje zbytku internetu důvěřovat vašemu klíči: každá úroveň ručí za tu níže, všechno nahoru ke kořeni internetu. DS je pečeť officiálně zaregistrovaná, takže ji ostatní mohou rozpoznat.

Aby DNSSEC skutečně chránilo, obojí musí být přítomno a musí souhlasit:

• DS přítomno + DNSKEY přítomno a souhlasí → dobré. Řetěz důvěry je kompletní. Zfalšované odpovědi jsou odmítnuty; legitimní se ověřují. Toto je stav “průchodu”.
• Žádné DS (a žádné DNSKEY) → DNSSEC jednoduše není zapnuto. Nemáte žádnou ochranu, ale nic není rozbité. Toto je nejběžnější stav “ještě neuděláno”. (V našem hodnocení toto je místo, kde DS kontrola počítá proti vám; kombinovaná-klíč kontrola zachází s čistým, plně “vypnutým” stavem jako informativní spíše než tvrdé selhání, protože nic aktivně nerozbíjí.)
• DS přítomno, ale DNSKEY chybí nebo nesouhlasí → rozbité a horší než vypnuto. Internet vidí zveřejněnou pečeť, která odkazuje na klíč, který tam není. Validující resolvery dospějí k závěru, že vaše doména byla neoprávněně pozměněna a odmítnout váš web rozlišit — způsobujíce přerušované výpadky popsané výše. Toto je nejnaléhavější stav k opravě a naše kontrola ho označí jako vysokou závažnost.
• DNSKEY přítomno, ale žádné DS u registrátora → zapnuto ale neaktivováno. Vaše záznamy jsou podepsány, ale protože otisk nebyl nikdy zaregistrován o úroveň výše, zbytek internetu nemá způsob, jak jim důvěřovat. Získáte práci bez ochrany. Oprava je přidat DS záznam u vašeho registrátora.

Jak vypadá ‘dobré’, jednou větou: DS záznam u vašeho registrátora, jehož otisk souhlasí s živým DNSKEY u vašeho DNS poskytovatele, obojí potvrzeno rychlým vyhledáváním.

Jak to opravit (zdarma, ~10–30 minut)

Předejte tuto část tomu, kdo spravuje vaši doménu nebo web. Samotná oprava je zdarma u většiny poskytovatelů — jedinou cenou je dělat to pečlivě, aby obě poloviny zůstaly synchronizované. Účtujeme pouze pokud byste chtěli, abychom sledovali, že zůstane správně povoleno.

Zlaté pravidlo: nejprve povolte podepisování (které vytvoří DNSKEY), pak zveřejněte DS záznam u registrátora — nikdy naopak a nikdy jedno bez druhého. Zveřejnění DS před tím, než klíč existuje, je přesně to, co způsobuje výpadky.

Jednoduchá cesta (doporučeno — Cloudflare):

1. V Cloudflare se ujistěte, že Cloudflare skutečně provozuje váš DNS (vaše nameservery ukazují na Cloudflare).
2. Přejděte na DNS → Nastavení → DNSSEC → Povolte DNSSEC. Cloudflare vygeneruje a spravuje klíče za vás (toto automaticky vytvoří stranu DNSKEY).
3. Cloudflare vám zobrazí DS záznam podrobnosti pro zveřejnění u vašeho registrátora.
4. Přihlaste se k vašemu doménovému registrátorovi (např. Blacknight, GoDaddy, Namecheap, OVH) a najděte sekci DNSSEC. Vložte hodnoty DS, které vám dal Cloudflare.
5. Počkejte 24–48 hodin na plné šíření. Váš web a e-mail fungují po celou dobu.

Jiní DNS poskytovatelé (AWS Route 53, váš webhosting atd.):

1. V ovládacím panelu vašeho DNS poskytovatele povolte DNSSEC / “podepsat tuto zónu.” Toto generuje podpisové klíče a zveřejňuje DNSKEY záznamy.
2. Zkopírujte DS záznam, který poskytovatel vyprodukuje.
3. Přidejte tento DS záznam u vašeho registrátora pod jeho nastavením DNSSEC.
4. Potvrďte, že registrátor to přijal a počkejte na šíření.

Poznámky k platformám:

• Cloudflare — jednoklikové povolení, pak jedno vložení DS u registrátora. Zdaleka nejjednodušší cesta.
• AWS Route 53 — povolte podepisování DNSSEC na hostované zóně, pak přidejte DS záznam u registrátora vaší domény (pokud je doména zaregistrována u Route 53, AWS to za vás může propojit).
• Microsoft 365 / Google Workspace — tyto provozují váš e-mail, obvykle nikoli vaši zónu DNS. DNSSEC je povoleno kdekoliv vaše DNS záznamy skutečně žijí (often váš registrátor, hostitel nebo Cloudflare), nikoli v administrátorském centru 365/Workspace.
• Váš DNS poskytovatel DNSSEC vůbec nepodporuje? To je běžné u starších nebo rozpočtových hostitelů. Čistou opravou je přesunout správu DNS k poskytovateli, který to dělá (Cloudflare je zdarma), pak postupovat podle jednoduché cesty výše. Přesun DNS nevyžaduje přesun vašeho webu nebo e-mailu.

Ověřte, že to fungovalo:

• Spusťte dig DS vasadomena.com a dig DNSKEY vasadomena.com — obojí by mělo vrátit záznamy.
• Nebo použijte jakýkoliv bezplatný online DNSSEC kontrolor a potvrďte zelený/platný řetěz důvěry.
• Nepovažujte to za hotové, dokud obojí nevrátí odpovídající záznamy. DS bez DNSKEY je rozbitý stav — okamžitě opravte nebo odstraňte.

Běžné chyby

• Zveřejnění DS před tím, než klíč existuje. Jediná nejničivější chyba: přidání DS záznamu u registrátora před tím, než je podepisování skutečně aktivní u DNS poskytovatele. Toto vytvoří stav “zveřejněná pečeť, chybějící klíč”, který způsobuje, že vaše doménu nelze rozlišit pro DNSSEC-kontrolující návštěvníky. Vždy nejprve povolte podepisování, pak zveřejněte DS.
• Ponechání starého DS po přepnutí poskytovatelů. Pokud migrujete DNS poskytovatele (nebo zakážete podepisování) ale zapomenete odstranit nebo aktualizovat starý DS záznam u registrátora, jste ponecháni odkazující na klíč, který již neexistuje — stejný rozbitý výsledek. Když vypnete DNSSEC nebo ho přesunete, aktualizujte DS u registrátora ve stejné změně.
• Zastavení po prvním kroku. Povolení podepisování u DNS poskytovatele (vytváření DNSKEY) ale nikdy přidání DS u registrátora. Vše vypadá “zapnuto” v DNS nástěnce, ale bez DS se ochrana nikdy neaktivuje. Udělali jste práci a nezískali žádný prospěch.
• Předpoklad, že HTTPS nebo autentizace e-mailu to již pokrývá. Zámek a autentizace e-mailu (SPF / DKIM / DMARC) jsou cenné, ale řeší různé problémy. Žádný z nich nezastaví zfalšovanou DNS odpověď od odeslání návštěvníků na špatné místo od začátku.
• Nemonitorování po povolení. Klíče se obnovují, poskytovatelé mění záznamy se upravují. Konfigurace, která je dnes dokonalá, může tiše přerušit měsíce později. Pokud DNSSEC stojí za povolení, stojí za pravidelnou kontrolu, že je stále platné.

Kde to sedí ve vašem hodnocení

Obě tyto kontroly se počítají do vašeho skóre DNS bezpečnosti. DS záznam kontrola je považována za vyšší prioritu z obou: chybějící DS je skutečná mezera a je hodnocena jako selhání. DNSKEY kontrola potvrzuje, že zbytek řetězu je neporušený — projde pouze tehdy, když jsou přítomny odpovídající DS a DNSKEY a označuje nebezpečný “DS-bez-klíče” rozbitý stav jako vysokou závažnost. Čistý výsledek “DNSSEC jednoduše ještě není povolen” je běžným výchozím bodem pro mnoho firem; přesun odtud na kompletní, odpovídající pár DS + DNSKEY je bezplatný, dobře pochopený upgrade, který zlepšuje vaše DNS bezpečnostní postavení a odstraňuje skutečnou cestu k napodobování a interceptaci.

Nastavte u svého poskytovatele

Krok za krokem pro oblíbené poskytovatele:

• Nastavit DNSSEC u GoDaddy
• Nastavit DNSSEC u Namecheap
• Nastavit DNSSEC u Cloudflare
• Nastavit DNSSEC u AWS Route 53

Časté dotazy