Preskočiť na obsah
Strange Loops
Bezpečnosť

DNSSEC

DNSSEC (Domain Name System Security Extensions) je rozšírenie DNS protokolu, ktoré pomocou kryptografických podpisov zaručuje, že DNS odpovede sú autentické a neboli cestou pozmenené — čím bráni útočníkom presmerovať návštevníkov vašej domény na falošné stránky.

Ako to funguje

DNS je telefónny zoznam internetu: prekladá doménové mená na IP adresy. Keď zadáte strangeloops.sk, váš počítač sa opýta DNS servera, kde webstránka beží, a ten odpovie IP adresou. Problém je, že klasický DNS nemá žiadny mechanizmus na overenie, že odpoveď je skutočná. Útočník, ktorý sa dostane medzi vás a DNS server, môže podstrčiť falošnú odpoveď — a váš prehliadač tomu uverí.

Tento útok sa nazýva DNS cache poisoning alebo DNS spoofing. Útočník odošle falošnú DNS odpoveď skôr, ako dorazí legitímna, a resolver si ju uloží do cache. Všetci používatelia, ktorí sa následne pýtajú na rovnakú doménu, dostanú falošnú adresu a skončia na phishingovej stránke — pritom URL v prehliadači vyzerá správne. Bez HTTPS certifikátu na phishingovej stránke by to bolo odhaliteľné; moderné phishingové kampane si však certifikáty bežne zaobstarávajú.

DNSSEC rieši tento problém kryptografickými podpismi. Každý DNS záznam je podpísaný súkromným kľúčom správcu domény. Resolver overí podpis pomocou verejného kľúča publikovaného v DNS hierarchii — od koreňových serverov až po vašu doménu. Ak podpis nesedí alebo chýba, resolver odpoveď odmietne. Útočník bez súkromného kľúča nedokáže podpísať falošnú odpoveď, ktorú by resolver akceptoval.

Nastavenie DNSSEC vyžaduje spoluprácu dvoch strán: registrátora domény (kde ste doménu zaregistrovali) a DNS providera (kde máte nameservery). Registrátor musí zverejniť DS záznam (hash verejného kľúča) v nadradenom DNS. DNS provider musí generovať podpisy pre vaše záznamy. Väčšina moderných registrátorov (Namecheap, Cloudflare, GoDaddy) aj DNS providerov DNSSEC plne podporuje, zvyčajne jedným kliknutím.

Z našej praxe

V Strange Loops konfigurujeme DNSSEC pre všetky klientske domény, kde to registrátor podporuje. Pre projekty nasadené na Vercel alebo Cloudflare je to jednoduché — obe platformy DNSSEC manažujú automaticky. Pre vlastné DNS (DigitalOcean, vlastné nameservery) nastavíme DNSSEC manuálne ako súčasť DNS auditu. Pre rehabit-mvp (zdravotné dáta) a qt-system-2 (finančné transakcie) je DNSSEC súčasťou základného bezpečnostného stacku, nie voliteľný doplatok.

Kedy to potrebujete

  • Prevádzkujete e-shop alebo SaaS a obávate sa, že útočník by mohol presmerovať zákazníkov na falošnú verziu vášho webu — DNSSEC tento vektor útoku eliminuje.
  • Pracujete v regulovanom odvetví (zdravotníctvo, financie) a bezpečnostný audit vyžaduje ochranu DNS vrstvy — DNSSEC je štandardná požiadavka v týchto kontextoch.
  • Vaša firemná emailová komunikácia je kritická a nechcete riskovať, že útočník presmeruje MX záznamy — DNSSEC chráni integritu všetkých DNS záznamov vrátane emailových.
  • Zákazníci vám hlásia, že sa dostali na podozrivú stránku namiesto vašej — DNS cache poisoning je jedna z možných príčin, DNSSEC jej predchádza.

Najčastejšie otázky

Spomaľuje DNSSEC načítanie stránok?

Minimálne. DNSSEC pridáva overovanie podpisov pri DNS lookupe, čo trvá niekoľko milisekúnd. DNS odpovede sú tiež o niečo väčšie (kvôli podpisom). V praxi je tento overhead zanedbateľný a moderné resolvery ho ďalej minimalizujú cachovaním overených záznamov.

Nahradí DNSSEC HTTPS certifikát?

Nie, sú to doplnkové ochrany. DNSSEC overuje, že DNS odpoveď je autentická — že smerujete na správny server. HTTPS (TLS certifikát) šifruje komunikáciu medzi prehliadačom a serverom a overuje identitu servera. Potrebujete oboje: DNSSEC chráni cestu k serveru, HTTPS chráni komunikáciu so serverom.

Ako zistím, či moja doména má DNSSEC zapnutý?

Použite bezplatný nástroj dnssec-analyzer.verisignlabs.com alebo intl.dnssec-analyzer.verisignlabs.com — zadáte doménu a uvidíte celý reťaz DNSSEC validácie. Alternatívne: príkaz `dig +dnssec NS vasadomena.sk` v terminály zobrazí DNSSEC záznamy, ak sú prítomné.

Súvisiaca služba

DNS a doménová infraštruktúra

Nastavenie a správa domén, DNS záznamov, DNSSEC. Migrácie domén medzi registrátormi. Správna konfigurácia od základov — A, AAAA, CNAME, MX, TXT.

Súvisiace pojmy

SPF, DKIM, DMARC

SPF, DKIM a DMARC sú tri navzájom sa dopĺňajúce DNS záznamy, ktoré spoločne overujú, že email odoslaný z vašej domény je legitímny — a určujú, čo sa má stať s emailmi, ktoré overením neprejdú.

DNS — Domain Name System

DNS (Domain Name System) je distribuovaný systém, ktorý prekladá doménové mená — napríklad strangeloops.sk — na IP adresy serverov, a zároveň riadi kam smerujú emaily, ako sa domény overujú a kde bežia jednotlivé cloudové služby.

Potrebujete s tým pomôcť?

Ak riešite niečo z toho, čo tu opisujeme, ozvite sa. Povieme vám, či a ako vieme pomôcť.

Dohodnúť hovorNaše služby