V tomto článku se dozvíte:
- Co je DNSSEC
- Jak DNSSEC nastavit na doméně
- Jak DNSSEC nastavit hromadně
- Běžné chyby
- Často kladené dotazy
Co je DNSSEC
DNSSEC je metoda zabezpečení domény proti pokusům o podvržení DNS. Pomocí bezpečnostních klíčů zajišťuje, že informace získané z DNS jsou úplné, poskytnuté správným zdrojem, a během přenosu s nimi žádná třetí strana neoprávněně nemanipulovala.
DNSSEC můžete nastavit u všech domén, které tuto metodu podporují:
- všechny domény CZ a EU, které registrujeme;
- všechny domény SK a gTLD (včetně nTLD), které registrujeme, ale nepoužívají naše DNS servery.
Domény PL momentálně DNSSEC nepodporují.
Nastavení DNSSEC na doméně
Nastavení zabezpečení DNSSEC zpravidla trvá až 6 hodin.
DNSSEC nastavíte za těchto podmínek:
- Domény CZ a EU musejí být registrované u nás a mohou, ale nemusí, používat naše DNS servery.
- Domény SK a generické domény (COM, NET, WEBSITE, …) musejí být registrované u nás, ale nesmí používat naše DNS.
Pro vstup do nastavení DNSSEC postupujte těmito kroky:
- Přihlaste se do zákaznické administrace.
- V horním menu vyberte Domény.
- V přehledu vyberte doménu, u které chcete DNSSEC nastavit.
- V levém menu vyberte Nastavení DNSSEC.

Aktivace DNSSEC u domén CZ a EU
U domén CZ a EU nabízíme kompletní řešení DNSSEC. Jak doména, tak DNS servery (NSSET) musejí být v tomto případě ve správě WEDOS.
V rozhraní nastavení DNSSEC zaškrtněte volbu použít DNSSEC WEDOS a klikněte na tlačítko Nastavit DNSSEC.
U těchto domén také můžete ve stejnojmenném rámečku nastavit budoucí automatické nastavení/zrušení DNSSEC WEDOS pro případ, že by systém zaznamenal s DNSSEC problémy.
Pokud nepoužíváte DNS servery (NSSET) WEDOS, můžete použít existující vlastní KEYSET, nebo vytvořit a použít vlastní KEYSET. Podepsání DNS záznamů na DNS serverech řeší poskytovatel DNS služeb, nebo správce domény (zákazník).
Aktivace DNSSEC u domén SK a generických domén
U domén SK, gTLD a nTLD nabízíme možnost DNSSEC aktivovat, ale DNS servery musíte mít nastavené u jiného poskytovatele. Od tohoto poskytovatele (pokud podporuje DNSSEC) také získejte klíče typu Digest nebo Public key. Podepsání DNS záznamů na DNS serverech řeší poskytovatel DNS služeb, nebo správce domény (zákazník).
V rozhraní nastavení DNSSEC postupujte těmito kroky:
- Zaškrtněte volbu použít vlastní DNSSEC klíče.
- V tabulce Vlastní DNSSEC klíče vyberte typ klíče a zadejte odpovídající hodnoty.
- Uložte nastavení kliknutím na tlačítko Nastavit DNSSEC.

Deaktivace DNSSEC
V rozhraní nastavení DNSSEC zaškrtněte volbu nepoužívat DNSSEC a klikněte na tlačítko Nastavit DNSSEC.
Hromadné nastavení DNSSEC
V současné době podporují hromadné nastavení DNSSEC pouze domény CZ a EU, které jsou registrované u nás. Doporučujeme používat naše DNS servery.
Hromadné nastavení DNSSEC proveďte těmito kroky:
- Přihlaste se do zákaznické administrace.
- V horním menu vyberte Domény.
- V přehledu zaškrtněte CZ a EU domény, u které chcete DNSSEC hromadně nastavit.
- Ve spodní části tabulky vyberte nastavení DNSSEC.
- Klikněte na tlačítko Provést.

V následujícím průvodci zadejte požadované nastavení a potvrďte jej tlačítkem Dokončit.
Běžné chyby
SK nebo gTLD a DNS u nás
Problém: Zobrazuje se chybová hláška CHYBA: DNSSEC u této domény je povolen pouze při použití cizích DNS serverů. U domény nesmí být použit žádný z našich DNS serverů.

Řešení: DNSSEC na doménách SK a generických (COM, NET, ONLINE, …) nastavíte pouze pokud nepoužíváte naše DNS servery. Změňte tedy DNS servery na jiného poskytovatele, který podporuje DNSSEC.
Často kladené dotazy
Otázka: Můžu u domén CZ a EU použít vlastní KEYSET?
Odpověď: Ano, ale nesmíte používat naše DNS servery.
Otázka: Jak probíhá zrušení DNSSEC?
Odpověď: Příkaz pro odebrání DNSSEC klíčů z nadřazené zóny systém na registr odesílá okamžitě. Pokud doména používá naše DNS servery, čekáte po odeslání příkazu na vypršení TTL DNSSEC klíčů v nadřazené zóně. Po vypršení TTL systém odstraní podpis zóny na našich DNS serverech a tím dokončí požadavek na zrušení DNSSECu u domény. V průběhu vyřizování požadavku na rušení DNSSECu nemůžete u domény jakkoliv měnit nastavení DNSSECu.