V tomto článku se dozvíte:

• Co je DNSSEC
• Jak DNSSEC nastavit na doméně
• Jak DNSSEC nastavit hromadně
• Běžné chyby
• Často kladené dotazy

DNSSEC je metoda zabezpečení domény proti pokusům o podvržení DNS. Pomocí bezpečnostních klíčů zajišťuje, že informace získané z DNS jsou úplné, poskytnuté správným zdrojem, a během přenosu s nimi žádná třetí strana neoprávněně nemanipulovala.

DNSSEC můžete nastavit u všech domén, které tuto metodu podporují:

• všechny domény CZ a EU, které registrujeme;
• všechny domény SK a gTLD (včetně nTLD), které registrujeme, ale nepoužívají naše DNS servery.

Domény PL momentálně DNSSEC nepodporují.

Nastavení zabezpečení DNSSEC zpravidla trvá až 6 hodin.

DNSSEC nastavíte za těchto podmínek:

• Domény CZ a EU musejí být registrované u nás a mohou, ale nemusí, používat naše DNS servery.
• Domény SK a generické domény (COM, NET, WEBSITE, …) musejí být registrované u nás, ale nesmějí používat naše DNS.

Pro vstup do nastavení DNSSEC postupujte těmito kroky:

1. Přihlaste se do zákaznické administrace.
2. V horním menu vyberte Domény.
3. V přehledu vyberte doménu, u které chcete DNSSEC nastavit.
4. V levém menu vyberte Nastavení DNSSEC.

U domén CZ a EU nabízíme kompletní řešení DNSSEC. Jak doména, tak DNS servery (NSSET) musejí být v tomto případě ve správě WEDOS.

V rozhraní nastavení DNSSEC zaškrtněte volbu použít DNSSEC WEDOS a klikněte na tlačítko Nastavit DNSSEC.

U těchto domén také můžete ve stejnojmenném rámečku nastavit budoucí automatické nastavení/zrušení DNSSEC WEDOS pro případ, že by systém zaznamenal s DNSSEC problémy.

Pokud nepoužíváte DNS servery (NSSET) WEDOS, můžete použít existující vlastní KEYSET, nebo vytvořit a použít vlastní KEYSET. Podepsání DNS záznamů na DNS serverech řeší poskytovatel DNS služeb, nebo správce domény (zákazník).

U domén SK, gTLD a nTLD nabízíme možnost DNSSEC aktivovat, ale DNS servery musíte mít nastavené u jiného poskytovatele. Od tohoto poskytovatele (pokud podporuje DNSSEC) také získejte klíče typu Digest nebo Public key. Podepsání DNS záznamů na DNS serverech řeší poskytovatel DNS služeb, nebo správce domény (zákazník).

V rozhraní nastavení DNSSEC postupujte těmito kroky: 

1. Zaškrtněte volbu použít vlastní DNSSEC klíče.
2. V tabulce Vlastní DNSSEC klíče vyberte typ klíče a zadejte odpovídající hodnoty.
3. Uložte nastavení kliknutím na tlačítko Nastavit DNSSEC.

V rozhraní nastavení DNSSEC zaškrtněte volbu nepoužívat DNSSEC a klikněte na tlačítko Nastavit DNSSEC.

V současné době podporují hromadné nastavení DNSSEC pouze domény CZ a EU, které jsou registrované u nás. Doporučujeme používat naše DNS servery.

Hromadné nastavení DNSSEC proveďte těmito kroky:

1. Přihlaste se do zákaznické administrace.
2. V horním menu vyberte Domény.
3. V přehledu zaškrtněte CZ a EU domény, u které chcete DNSSEC hromadně nastavit.
4. Ve spodní části tabulky vyberte nastavení DNSSEC.
5. Klikněte na tlačítko Provést.

V následujícím průvodci zadejte požadované nastavení a potvrďte jej tlačítkem Dokončit.

Problém: Zobrazuje se chybová hláška CHYBA: DNSSEC u této domény je povolen pouze při použití cizích DNS serverů. U domény nesmí být použit žádný z našich DNS serverů.

Řešení: DNSSEC na doménách SK a generických (COM, NET, ONLINE, …) nastavíte pouze pokud nepoužíváte naše DNS servery. Změňte tedy DNS servery na jiného poskytovatele, který podporuje DNSSEC.

Otázka: Můžu u domén CZ a EU použít vlastní KEYSET?
Odpověď: Ano, ale nesmíte používat naše DNS servery.

Otázka: Proč musím pro generické domény používat cizí DNS servery?
Odpověď: U gTLD domén není možné z naší strany proces nastavení DNSSEC dostatečně zautomatizovat z technických důvodů. Registry CZ a EU domén podporují objekty typu KEYSET, díky kterým můžeme provádět rotaci DNSSEC klíčů v nadřazené zóně hromadně pro všechny dotčené domény jedním příkazem. U ostatních registrů bychom museli klíče obměňovat jednotlivě pro každou doménu, a to se v některých případech ani nemusí povést z důvodu případných omezení domén ze strany registru. Neprovedená rotace klíče by pak mohla způsobit nedostupnost domény z důvodu narušeného řetězce DNSSEC klíčů.

Otázka: Jak probíhá zrušení DNSSEC?
Odpověď: Příkaz pro odebrání DNSSEC klíčů z nadřazené zóny systém na registr odesílá okamžitě. Pokud doména používá naše DNS servery, čekáte po odeslání příkazu na vypršení TTL DNSSEC klíčů v nadřazené zóně. Po vypršení TTL systém odstraní podpis zóny na našich DNS serverech a tím dokončí požadavek na zrušení DNSSECu u domény. V průběhu vyřizování požadavku na rušení DNSSECu nemůžete u domény jakkoliv měnit nastavení DNSSECu.