Defaults.Exposed

Defaults.Exposed › Reporty

Čo je DNSSEC — a naozaj ho potrebujete? (2026)

Publikované 2026-07-01

Údaje k 2026-06-29 · metodika v7. Súhrnné cenzové údaje z 261 miliónov ohodnotených domén. DNSSEC pridáva k DNS kryptografické podpisy, takže resolver vie preukázať, že odpoveď skutočne pochádza od vás a nebola sfalšovaná. Pozrite si ako hodnotíme.

DNSSEC opečiatkuje každú DNS odpoveď pre vašu doménu podpisom, takže útočník nemôže potichu podstrčiť falošnú a poslať vašich návštevníkov niekam inam. Je to jeden z najmenej rozšírených ochranných prvkov na webe: iba 1.99 % z 261 miliónov domén má platný podpísaný reťazec. Je to tiež jeden z mála prvkov, kde je zlá konfigurácia horšia než žiadna — 3.02 % domén je podpísaných, ale nefunkčne, čo ich môže spraviť nedostupnými. Tu je, čo robí a či ho potrebujete.

Pred čím DNSSEC v skutočnosti chráni

Bežné DNS nemá spôsob, ako preukázať, že odpoveď je pravá. To otvára dvere otrave vyrovnávacej pamäte (cache poisoning) a DNS spoofingu na trase (on-path) — útočník podsunie resolveru sfalšovaný záznam a nasmeruje vašich návštevníkov alebo vašu poštu na svoj server, a to bez akéhokoľvek varovania o certifikáte, ktoré by ho prezradilo. DNSSEC túto medzeru uzatvára podpisovaním záznamov, takže validujúci resolver odmietne čokoľvek, čo sa neoverí.

Čo nerobí: nešifruje DNS, nezabezpečuje samotnú webovú stránku a nenahrádza HTTPS, DMARC ani CAA. Je to jedna vrstva — integrita DNS odpovedí.

Obraz rozšírenia

Podľa koncovky domény sa platný DNSSEC pohybuje v širokom rozsahu: 18.38 % na .se, 11.86 % na .nl, 14.62 % na .cz — oproti len 1.62 % na .com.

Potrebujete ho?

Ako ho bezpečne zapnúť

  1. Použite DNS hostiteľa, ktorý DNSSEC automatizuje — podpisovanie a výmeny kľúčov riešené za vás (väčšina veľkých poskytovateľov to teraz robí jedným kliknutím). Pozrite si oprava DNSSEC.
  2. Zapnite podpisovanie a potom zverejnite DS záznam u svojho registrátora, aby ste dokončili reťazec dôvery.
  3. Overte, že sa reťazec vyrieši, skôr než to necháte tak — podpísaná, ale nefunkčná doména je horšia než nepodpísaná.
  4. Nikdy nespravujte kľúče ručne, pokiaľ nemáte nástroje na ich spoľahlivú rotáciu.

Často kladené otázky

Čo je DNSSEC jednoducho povedané? Je to súbor digitálnych podpisov na vašich DNS záznamoch, takže resolvery môžu preukázať, že odpoveď je pravá a nebola počas prenosu sfalšovaná.

Naozaj potrebujem DNSSEC? Najhodnotnejší je pre domény, ktoré sú častým terčom útokov, a tam, kde ho vyžaduje súlad. Pre všetkých ostatných je to dobrý krok k spevneniu ochrany, ak ho váš DNS hostiteľ automatizuje — hlavným rizikom je nesprávna konfigurácia, ktorú má momentálne 3.02 % domén.

Šifruje DNSSEC moje DNS? Nie. Preukazuje integritu (odpoveď je pravá), ale neskrýva dopyt. To je iná technológia (DoH/DoT).

Môže DNSSEC pokaziť moju webovú stránku? Nefunkčný alebo expirovaný podpis môže spraviť vašu doménu neriešiteľnou pre každého, kto používa validujúci resolver. Práve preto sú dôležité automatizované podpisovanie a výmena kľúčov.

Je DNSSEC zadarmo? Na väčšine moderných DNS hostiteľov áno — je to nastavenie, nie nákup.

Skontrolujte DNSSEC svojej domény zadarmo

Zistite, či je vaša doména podpísaná, platná a správne zreťazená — súkromne a len pre vlastníka.

Skontrolujte svoju doménu → · Opraviť DNSSEC → · Funguje povinný DNSSEC? → · Ako hodnotíme → · Len súhrnné údaje. Údaje uložené a spracované v EÚ.