Domény – DNSSEC

  Domény

V tomto článku se dozvíte:

Co je DNSSEC

DNSSEC je metoda zabezpečení domény proti pokusům o podvržení DNS. Pomocí bezpečnostních klíčů zajišťuje, že informace získané z DNS jsou úplné, poskytnuté správným zdrojem, a během přenosu s nimi žádná třetí strana neoprávněně nemanipulovala.

DNSSEC můžete nastavit u všech domén, které tuto metodu podporují:

  • všechny domény CZ a EU, které registrujeme;
  • všechny domény SK a gTLD (včetně nTLD), které registrujeme, ale nepoužívají naše DNS servery.

Domény PL momentálně DNSSEC nepodporují.

Nastavení DNSSEC na doméně

Nastavení zabezpečení DNSSEC zpravidla trvá až 6 hodin.

DNSSEC nastavíte za těchto podmínek:

  • Domény CZ a EU musejí být registrované u nás a mohou, ale nemusí, používat naše DNS servery.
  • Domény SK a generické domény (COM, NET, WEBSITE, …) musejí být registrované u nás, ale nesmějí používat naše DNS.

Pro vstup do nastavení DNSSEC postupujte těmito kroky:

  1. Přihlaste se do zákaznické administrace.
  2. V horním menu vyberte Domény.
  3. V přehledu vyberte doménu, u které chcete DNSSEC nastavit.
  4. V levém menu vyberte Nastavení DNSSEC.
WEDOS Vstup do rozhraní nastavení DNSSEC
Vstup do rozhraní nastavení DNSSEC

Dále pokračujte podle instrukcí pro Vaši doménovou koncovku:

Aktivace DNSSEC u domén CZ a EU

U domén CZ a EU nabízíme kompletní řešení DNSSEC. Jak doména, tak DNS servery (NSSET) musejí být v tomto případě ve správě WEDOS.

V rozhraní nastavení DNSSEC zaškrtněte volbu použít DNSSEC WEDOS a klikněte na tlačítko Nastavit DNSSEC.

U těchto domén také můžete ve stejnojmenném rámečku nastavit budoucí automatické nastavení/zrušení DNSSEC WEDOS pro případ, že by systém zaznamenal s DNSSEC problémy.

Pokud nepoužíváte DNS servery (NSSET) WEDOS, můžete použít existující vlastní KEYSET, nebo vytvořit a použít vlastní KEYSET. Podepsání DNS záznamů na DNS serverech řeší poskytovatel DNS služeb, nebo správce domény (zákazník).

Aktivace DNSSEC u domén SK a generických domén

U domén SK, gTLD a nTLD nabízíme možnost DNSSEC aktivovat, ale DNS servery musíte mít nastavené u jiného poskytovatele. Od tohoto poskytovatele (pokud podporuje DNSSEC) také získejte klíče typu Digest nebo Public key. Podepsání DNS záznamů na DNS serverech řeší poskytovatel DNS služeb, nebo správce domény (zákazník).

V rozhraní nastavení DNSSEC postupujte těmito kroky: 

  1. Zaškrtněte volbu použít vlastní DNSSEC klíče.
  2. V tabulce Vlastní DNSSEC klíče vyberte typ klíče a zadejte odpovídající hodnoty.
  3. Uložte nastavení kliknutím na tlačítko Nastavit DNSSEC.
WEDOS Vzorové použití vlastního klíče typu Public key při nastavení DNSSEC
Vzorové použití vlastního klíče typu Public key při nastavení DNSSEC

Deaktivace DNSSEC

V rozhraní nastavení DNSSEC zaškrtněte volbu nepoužívat DNSSEC a klikněte na tlačítko Nastavit DNSSEC.

Hromadné nastavení DNSSEC

V současné době podporují hromadné nastavení DNSSEC pouze domény CZ a EU, které jsou registrované u nás. Doporučujeme používat naše DNS servery.

Hromadné nastavení DNSSEC proveďte těmito kroky:

  1. Přihlaste se do zákaznické administrace.
  2. V horním menu vyberte Domény.
  3. V přehledu zaškrtněte CZ a EU domény, u které chcete DNSSEC hromadně nastavit.
  4. Ve spodní části tabulky vyberte nastavení DNSSEC.
  5. Klikněte na tlačítko Provést.
WEDOS Hromadné nastavení DNSSEC
Hromadné nastavení DNSSEC

V následujícím průvodci zadejte požadované nastavení a potvrďte jej tlačítkem Dokončit.

Běžné problémy

Mezi běžné problémy s DNSSEC patří:

SK nebo gTLD s WEDOS DNS

Problém: Zobrazuje se chybová hláška CHYBA: DNSSEC u této domény je povolen pouze při použití cizích DNS serverů. U domény nesmí být použit žádný z našich DNS serverů.

WEDOS Chybová hláška SK nebo gTLD a DNS u nás
Chybová hláška SK nebo gTLD a DNS u nás

Příčina: DNSSEC na doménách SK a generických (COM, NET, ONLINE, …) nastavíte pouze pokud nepoužíváte naše DNS servery.

Řešení: Změňte DNS servery na jiného poskytovatele, který podporuje DNSSEC.

Často kladené dotazy

Otázka: Můžu u domén CZ a EU použít vlastní KEYSET?
Odpověď: Ano, ale nesmíte používat naše DNS servery.

Otázka: Proč musím pro generické domény používat cizí DNS servery?
Odpověď: U gTLD domén není možné z naší strany proces nastavení DNSSEC dostatečně zautomatizovat z technických důvodů. Registry CZ a EU domén podporují objekty typu KEYSET, díky kterým můžeme provádět rotaci DNSSEC klíčů v nadřazené zóně hromadně pro všechny dotčené domény jedním příkazem. U ostatních registrů bychom museli klíče obměňovat jednotlivě pro každou doménu, a to se v některých případech ani nemusí povést z důvodu případných omezení domén ze strany registru. Neprovedená rotace klíče by pak mohla způsobit nedostupnost domény z důvodu narušeného řetězce DNSSEC klíčů.

Otázka: Jak probíhá zrušení DNSSEC?
Odpověď: Příkaz pro odebrání DNSSEC klíčů z nadřazené zóny systém na registr odesílá okamžitě. Pokud doména používá naše DNS servery, čekáte po odeslání příkazu na vypršení TTL DNSSEC klíčů v nadřazené zóně. Po vypršení TTL systém odstraní podpis zóny na našich DNS serverech a tím dokončí požadavek na zrušení DNSSECu u domény. V průběhu vyřizování požadavku na rušení DNSSECu nemůžete u domény jakkoliv měnit nastavení DNSSECu.

Děkujeme za zpětnou vazbu!