DNSSEC
DNSSEC (Domain Name System Security Extensions) je rozšírenie DNS protokolu, ktoré pomocou kryptografických podpisov zaručuje, že DNS odpovede sú autentické a neboli cestou pozmenené — čím bráni útočníkom presmerovať návštevníkov vašej domény na falošné stránky.
Ako to funguje
DNS je telefónny zoznam internetu: prekladá doménové mená na IP adresy. Keď zadáte strangeloops.sk, váš počítač sa opýta DNS servera, kde webstránka beží, a ten odpovie IP adresou. Problém je, že klasický DNS nemá žiadny mechanizmus na overenie, že odpoveď je skutočná. Útočník, ktorý sa dostane medzi vás a DNS server, môže podstrčiť falošnú odpoveď — a váš prehliadač tomu uverí.
Tento útok sa nazýva DNS cache poisoning alebo DNS spoofing. Útočník odošle falošnú DNS odpoveď skôr, ako dorazí legitímna, a resolver si ju uloží do cache. Všetci používatelia, ktorí sa následne pýtajú na rovnakú doménu, dostanú falošnú adresu a skončia na phishingovej stránke — pritom URL v prehliadači vyzerá správne. Bez HTTPS certifikátu na phishingovej stránke by to bolo odhaliteľné; moderné phishingové kampane si však certifikáty bežne zaobstarávajú.
DNSSEC rieši tento problém kryptografickými podpismi. Každý DNS záznam je podpísaný súkromným kľúčom správcu domény. Resolver overí podpis pomocou verejného kľúča publikovaného v DNS hierarchii — od koreňových serverov až po vašu doménu. Ak podpis nesedí alebo chýba, resolver odpoveď odmietne. Útočník bez súkromného kľúča nedokáže podpísať falošnú odpoveď, ktorú by resolver akceptoval.
Nastavenie DNSSEC vyžaduje spoluprácu dvoch strán: registrátora domény (kde ste doménu zaregistrovali) a DNS providera (kde máte nameservery). Registrátor musí zverejniť DS záznam (hash verejného kľúča) v nadradenom DNS. DNS provider musí generovať podpisy pre vaše záznamy. Väčšina moderných registrátorov (Namecheap, Cloudflare, GoDaddy) aj DNS providerov DNSSEC plne podporuje, zvyčajne jedným kliknutím.
Z našej praxe
DNSSEC sa oplatí aktivovať pre každú doménu, kde to registrátor podporuje — čo dnes platí pre väčšinu moderných registrátorov. Pre projekty nasadené na Vercel alebo Cloudflare je konfigurácia jednoduchá, lebo obe platformy DNSSEC manažujú automaticky. Pre vlastné nameservery treba DNSSEC nastaviť manuálne v rámci DNS auditu. Pre projekty spracúvajúce zdravotné dáta alebo finančné transakcie by DNSSEC malo byť súčasťou základného bezpečnostného nastavenia, nie doplnkom na neskôr.
Kedy to potrebujete
- Prevádzkujete e-shop alebo SaaS a obávate sa, že útočník by mohol presmerovať zákazníkov na falošnú verziu vášho webu — DNSSEC tento vektor útoku eliminuje.
- Pracujete v regulovanom odvetví (zdravotníctvo, financie) a bezpečnostný audit vyžaduje ochranu DNS vrstvy — DNSSEC je štandardná požiadavka v týchto kontextoch.
- Vaša firemná emailová komunikácia je kritická a nechcete riskovať, že útočník presmeruje MX záznamy — DNSSEC chráni integritu všetkých DNS záznamov vrátane emailových.
- Zákazníci vám hlásia, že sa dostali na podozrivú stránku namiesto vašej — DNS cache poisoning je jedna z možných príčin, DNSSEC jej predchádza.
Najčastejšie otázky
Oplatí sa zapnúť DNSSEC, aj keď nemám e-shop?
Áno, ak to registrátor podporuje — a u väčšiny moderných registrátorov je to jedno kliknutie. DNSSEC chráni integritu DNS pre akúkoľvek doménu: web, e-mail, overovania. Pri malej firme alebo blogu nie je najnaliehavejšie bezpečnostné opatrenie (HTTPS, silné heslá a aktualizácie sú vyššia priorita), ale je lacné a nemá prakticky žiadnu nevýhodu. Jediná pasca je migrácia: ak prenášate doménu k inému registrátorovi alebo DNS providerovi, DNSSEC treba pri prechode korektne vypnúť a znova zapnúť, inak sa doména môže stať dočasne nedostupnou.
Funguje DNSSEC s Cloudflare alebo Vercel?
Áno. Cloudflare aj Vercel podpisovanie DNSSEC manažujú za vás — v Cloudflare ho zapnete v nastaveniach DNS a doplníte DS záznam u registrátora; pri doménach spravovaných cez Vercel je proces podobný. Dôležité je, aby DS záznam (hash verejného kľúča) bol zverejnený u registrátora domény a zhodoval sa s kľúčom, ktorým DNS provider podpisuje záznamy — bez tejto zhody validácia zlyhá.
Spomaľuje DNSSEC načítanie stránok?
Minimálne. DNSSEC pridáva overovanie podpisov pri DNS lookupe, čo trvá niekoľko milisekúnd. DNS odpovede sú tiež o niečo väčšie (kvôli podpisom). V praxi je tento overhead zanedbateľný a moderné resolvery ho ďalej minimalizujú cachovaním overených záznamov.
Nahradí DNSSEC HTTPS certifikát?
Nie, sú to doplnkové ochrany. DNSSEC overuje, že DNS odpoveď je autentická — že smerujete na správny server. HTTPS (TLS certifikát) šifruje komunikáciu medzi prehliadačom a serverom a overuje identitu servera. Potrebujete oboje: DNSSEC chráni cestu k serveru, HTTPS chráni komunikáciu so serverom.
Ako zistím, či moja doména má DNSSEC zapnutý?
Použite bezplatný nástroj dnssec-analyzer.verisignlabs.com alebo intl.dnssec-analyzer.verisignlabs.com — zadáte doménu a uvidíte celý reťazec validácie DNSSEC. Alternatívne: príkaz „dig +dnssec NS vasadomena.sk“ v termináli zobrazí DNSSEC záznamy, ak sú prítomné.
Súvisiace pojmy
SPF, DKIM, DMARC
SPF, DKIM a DMARC sú tri navzájom sa dopĺňajúce DNS záznamy, ktoré spoločne overujú, že email odoslaný z vašej domény je legitímny — a určujú, čo sa má stať s emailmi, ktoré overením neprejdú.
DNS — Domain Name System
DNS (Domain Name System) je distribuovaný systém, ktorý prekladá doménové mená — napríklad strangeloops.sk — na IP adresy serverov, a zároveň riadi kam smerujú emaily, ako sa domény overujú a kde bežia jednotlivé cloudové služby. Základ je definovaný v dokumentoch RFC 1034 a RFC 1035 (IETF, 1987).
Potrebujete s tým pomôcť?
Ak riešite niečo z toho, čo tu opisujeme, ozvite sa. Povieme vám, či a ako vieme pomôcť.