V tomto článku se dozvíte:
- Co je DNSSEC
- Jak DNSSEC nastavit na doméně
- Jak DNSSEC nastavit hromadně
- Běžné problémy
- Často kladené dotazy
Co je DNSSEC
DNSSEC je metoda zabezpečení domény proti pokusům o podvržení DNS. Pomocí bezpečnostních klíčů zajišťuje, že informace získané z DNS jsou úplné, poskytnuté správným zdrojem, a během přenosu s nimi žádná třetí strana neoprávněně nemanipulovala.
DNSSEC můžete nastavit u všech domén, které tuto metodu podporují:
- všechny domény CZ a EU, které registrujeme;
- všechny domény SK a gTLD (včetně nTLD), které registrujeme, ale nepoužívají naše DNS servery.
Domény PL momentálně DNSSEC nepodporují.
Nastavení DNSSEC na doméně
Nastavení zabezpečení DNSSEC zpravidla trvá až 6 hodin.
DNSSEC nastavíte za těchto podmínek:
- Domény CZ a EU musejí být registrované u nás a mohou, ale nemusí, používat naše DNS servery.
- Domény SK a generické domény (COM, NET, WEBSITE, …) musejí být registrované u nás, ale nesmějí používat naše DNS.
Pro vstup do nastavení DNSSEC postupujte těmito kroky:
- Přihlaste se do zákaznické administrace.
- V horním menu vyberte Domény.
- V přehledu vyberte doménu, u které chcete DNSSEC nastavit.
- V levém menu vyberte Nastavení DNSSEC.
Dále pokračujte podle instrukcí pro Vaši doménovou koncovku:
Aktivace DNSSEC u domén CZ a EU
U domén CZ a EU nabízíme kompletní řešení DNSSEC. Jak doména, tak DNS servery (NSSET) musejí být v tomto případě ve správě WEDOS.
V rozhraní nastavení DNSSEC zaškrtněte volbu použít DNSSEC WEDOS a klikněte na tlačítko Nastavit DNSSEC.
U těchto domén také můžete ve stejnojmenném rámečku nastavit budoucí automatické nastavení/zrušení DNSSEC WEDOS pro případ, že by systém zaznamenal s DNSSEC problémy.
Pokud nepoužíváte DNS servery (NSSET) WEDOS, můžete použít existující vlastní KEYSET, nebo vytvořit a použít vlastní KEYSET. Podepsání DNS záznamů na DNS serverech řeší poskytovatel DNS služeb, nebo správce domény (zákazník).
Aktivace DNSSEC u domén SK a generických domén
U domén SK, gTLD a nTLD nabízíme možnost DNSSEC aktivovat, ale DNS servery musíte mít nastavené u jiného poskytovatele. Od tohoto poskytovatele (pokud podporuje DNSSEC) také získejte klíče typu Digest nebo Public key. Podepsání DNS záznamů na DNS serverech řeší poskytovatel DNS služeb, nebo správce domény (zákazník).
V rozhraní nastavení DNSSEC postupujte těmito kroky:
- Zaškrtněte volbu použít vlastní DNSSEC klíče.
- V tabulce Vlastní DNSSEC klíče vyberte typ klíče a zadejte odpovídající hodnoty.
- Uložte nastavení kliknutím na tlačítko Nastavit DNSSEC.
Deaktivace DNSSEC
V rozhraní nastavení DNSSEC zaškrtněte volbu nepoužívat DNSSEC a klikněte na tlačítko Nastavit DNSSEC.
Hromadné nastavení DNSSEC
V současné době podporují hromadné nastavení DNSSEC pouze domény CZ a EU, které jsou registrované u nás. Doporučujeme používat naše DNS servery.
Hromadné nastavení DNSSEC proveďte těmito kroky:
- Přihlaste se do zákaznické administrace.
- V horním menu vyberte Domény.
- V přehledu zaškrtněte CZ a EU domény, u které chcete DNSSEC hromadně nastavit.
- Ve spodní části tabulky vyberte nastavení DNSSEC.
- Klikněte na tlačítko Provést.
V následujícím průvodci zadejte požadované nastavení a potvrďte jej tlačítkem Dokončit.
Běžné problémy
Mezi běžné problémy s DNSSEC patří:
SK nebo gTLD s WEDOS DNS
Problém: Zobrazuje se chybová hláška CHYBA: DNSSEC u této domény je povolen pouze při použití cizích DNS serverů. U domény nesmí být použit žádný z našich DNS serverů.
Příčina: DNSSEC na doménách SK a generických (COM, NET, ONLINE, …) nastavíte pouze pokud nepoužíváte naše DNS servery.
Řešení: Změňte DNS servery na jiného poskytovatele, který podporuje DNSSEC.
Často kladené dotazy
Otázka: Můžu u domén CZ a EU použít vlastní KEYSET?
Odpověď: Ano, ale nesmíte používat naše DNS servery.
Otázka: Proč musím pro generické domény používat cizí DNS servery?
Odpověď: U gTLD domén není možné z naší strany proces nastavení DNSSEC dostatečně zautomatizovat z technických důvodů. Registry CZ a EU domén podporují objekty typu KEYSET, díky kterým můžeme provádět rotaci DNSSEC klíčů v nadřazené zóně hromadně pro všechny dotčené domény jedním příkazem. U ostatních registrů bychom museli klíče obměňovat jednotlivě pro každou doménu, a to se v některých případech ani nemusí povést z důvodu případných omezení domén ze strany registru. Neprovedená rotace klíče by pak mohla způsobit nedostupnost domény z důvodu narušeného řetězce DNSSEC klíčů.
Otázka: Jak probíhá zrušení DNSSEC?
Odpověď: Příkaz pro odebrání DNSSEC klíčů z nadřazené zóny systém na registr odesílá okamžitě. Pokud doména používá naše DNS servery, čekáte po odeslání příkazu na vypršení TTL DNSSEC klíčů v nadřazené zóně. Po vypršení TTL systém odstraní podpis zóny na našich DNS serverech a tím dokončí požadavek na zrušení DNSSECu u domény. V průběhu vyřizování požadavku na rušení DNSSECu nemůžete u domény jakkoliv měnit nastavení DNSSECu.