24 min. číst

DNSSEC: Definice, jak funguje a proč na něm záleží?

Systém doménových jmen DNS slouží jako internetový telefonní seznam a miliardykrát denně překládá lidsky čitelná jména na IP adresy. V databázi DNS jsou uloženy důležité záznamy DNS, jako jsou IP adresy a doménové aliasy, což z ní činí cíl kybernetických hrozeb. Tato kritická infrastruktura však byla navržena v 80. letech minulého století bez zabudovaného zabezpečení. Tradiční ověřování DNS se spoléhalo na porovnávání odpovědí se stejnou IP adresou, což je nezabezpečené, protože IP adresy lze podvrhnout. Systém DNSSEC existuje proto, aby tuto zásadní mezeru odstranil a přidal kryptografické ověření do systému, který původně fungoval pouze na základě důvěry.

DNSSEC v kostce

Domain Name System Security Extensions, běžně známé jako DNSSEC, je zkratka pro DNS Security Extensions a jedná se o soubor specifikací protokolu IETF, který přidává k datům DNS kryptografické podpisy. Tyto podpisy umožňují překladačům DNS ověřit, že informace, které obdrží, skutečně pocházejí z autoritativního zdroje a že s nimi nebylo cestou manipulováno.

Základní problém, který DNSSEC řeší, je jednoduchý: bez něj mohou útočníci do mezipaměti resolverů vkládat falešné odpovědi DNS. Tento útok, známý jako DNS cache poisoning, přesměruje uživatele na škodlivé stránky bez jejich vědomí. DNSSEC tomu zabraňuje tím, že umožňuje ověřování původu dat a zajišťuje integritu záznamů DNS pomocí digitálních podpisů, používá kryptografii s veřejným klíčem a vyžaduje pečlivou správu klíčů zóny DNS, aby se zabránilo vydávání se za někoho jiného a manipulaci s daty.

Pracovní skupina pro internetové inženýrství (IETF) standardizovala DNSSEC prostřednictvím řady dokumentů RFC na počátku roku 2000, včetně dokumentů RFC 4033, 4034 a 4035. Hlavním milníkem v zavádění byl červenec 2010, kdy organizace ICANN podepsala kořenovou zónu DNS a vytvořila tak globální důvěryhodnou kotvu, která umožnila praktické zavedení DNSSEC po celém světě.

Je důležité pochopit, co DNSSEC dělá a nedělá. DNSSEC ověřuje pravost dat DNS – potvrzuje, žezáznamy A, AAAA, MX a TXT jsou pravé a nezměněné. Nešifruje však dotazy ani odpovědi DNS. Váš provoz DNS zůstává viditelný pro každého, kdo jej může sledovat. Pro šifrování potřebujete doplňkové protokoly, jako je DNS přes TLS nebo DNS přes HTTPS.

DNSSEC také nezabrání všem útokům na infrastrukturu DNS. Objemové útoky DDoS mohou stále zahltit servery DNS bez ohledu na podepisování. A DNSSEC nemůže zabránit uživatelům navštěvovat legitimně registrované podvodné domény, které náhodou vypadají přesvědčivě.

Implementace DNSSEC může být složitá kvůli potřebě správy klíčů a vytvoření řetězce důvěryhodnosti. Úspěšné nasazení DNSSEC vyžaduje, aby byla podepsána také nadřazená zóna a všechny zóny v řetězci.

Většina domén nejvyšší úrovně dnes podporuje DNSSEC – podle údajů ICANN je podepsáno více než 1 400 domén nejvyšší úrovně. Přijetí domén druhé úrovně však vypovídá o něčem jiném. Pouze asi 1-2 % zón .com má povolen DNSSEC, zatímco u domén nejvyšší úrovně s kódem země, jako jsou .nl (Nizozemsko) a .se (Švédsko), přesahuje míra podepsání 90 % díky povinným zásadám.

Proč by vás to mělo zajímat? Protože bez DNSSEC je každý dotaz DNS, který vaše organizace provede, náchylný k tiché manipulaci. Útočník, který otráví mezipaměť vašeho resolveru, může vaše zaměstnance přesměrovat na weby, kde dochází ke sběru pověření, nebo zachytit doručování e-mailů – to vše bez spuštění jakéhokoli zjevného varování.

Jak spolu DNS a DNSSEC souvisejí

Než se ponoříme hlouběji do DNSSEC, stručně zrekapitulujme, jak dnes systém doménových jmen funguje. Když zadáte adresu URL do prohlížeče, překladač DNS vašeho počítače kontaktuje rekurzivní překladač DNS – častoposkytovaný poskytovatelem internetových služeb, podnikovou sítí nebo veřejnou službou, jako je 8.8.8.8.8 společnosti Google nebo 1.1.1.1 společnosti Cloudflare. Překladač DNS zpracovává dotazy DNS tak, že sleduje řetězec serverů, aby získal správnou IP adresu, a zajišťuje tak efektivní a přesné řešení.

Zvažte řešení www.example.com. Rekurzivní DNS resolver se nejprve zeptá jednoho ze 13 logických kořenových DNS jmenných serverů na informace o doméně .com. Kořenový server odpoví odkazem na servery TLD .com provozované společností Verisign. Překladač se poté zeptá serverů domény .com na adresu example.com a obdrží další odkaz na autoritativní jmenný server domény example.com. Nakonec se resolver dotáže tohoto autoritativního serveru a získá skutečný záznam A obsahující IP adresu www.example.com.

V rámci tohoto hierarchického systému spolupracují různé součásti DNS, jako jsou záznamy o prostředcích, autoritativní jmenné servery a klíče pro podepisování zón, na správě, řízení a zabezpečení každé zóny DNS.

Tento elegantní hierarchický systém byl definován v RFC 1034 a 1035 již v roce 1987. Problém? Klasický protokol DNS byl navržen bez silného ověřování. Odpovědi byly ověřovány především porovnáváním zdrojových IP adres a 16bitových ID transakcí –systém, který se útočníci naučili využívat.

Zranitelnost Kaminskyho z roku 2008 ukázala, jak zranitelná tato konstrukce je. Bezpečnostní výzkumník Dan Kaminsky ukázal, že útočníci mohou s vysokou pravděpodobností vložit falešné odpovědi do mezipaměti resolveru tím, že během jednoho dotazovacího okna zaplaví hádanky. Toto odhalení podnítilo mimořádné opravy v celém odvětví a výrazně urychlilo zavádění DNSSEC po celém světě.

DNSSEC se integruje jako rozšiřující vrstva, která obklopuje stávající DNS, aniž by měnila základní model dotazu/odpovědi. Nepodepsané zóny nadále fungují normálně pro nevalidující resolvery. Validující resolvery jednoduše provádějí další kryptografické kontroly podepsaných zón. Tato zpětná kompatibilita byla klíčová pro postupné zavádění v celém jmenném prostoru DNS.

Abstraktní obrázek znázorňující globální síť s propojenými uzly překrytými bezpečnostními štíty symbolizujícími ochranu dat DNS. Toto vizuální znázornění zdůrazňuje význam zabezpečení DNS a ověřování DNSSEC při ochraně před hrozbami, jako je podvržení DNS a otrávení mezipaměti.

Základní pojmy a typy záznamů DNSSEC

DNSSEC zavádí několik nových typů záznamů o prostředcích DNS, které společně vytvářejí ověřitelný řetězec důvěryhodnosti. Znalost těchto záznamů a jejich vztahů je pro každého, kdo pracuje se signálními zónami, zásadní.

Základní jednotkou DNSSEC je sada záznamů o prostředcích neboli RRSet. Jedná se o seskupení záznamů DNS, které mají stejný název, typ a třídu. Namísto podepisování jednotlivých záznamů podepisuje DNSSEC celé sady RRS. Tento přístup zajišťuje atomickou integritu – nelze manipulovat s jedním záznamem v sadě, aniž by byl zneplatněn podpis všech záznamů.

Záznam RRSIG obsahuje digitální podpis pokrývající sadu RRS. Každý podpis záznamu o prostředku, vytvořený pomocí soukromého klíče zóny, obsahuje metadata, jako je jméno podepisujícího, doba platnosti a použitý algoritmus. Řešitelé ověřují tyto podpisy přepočítáním hashe dat sady RRSet a jeho porovnáním s kryptografickým podpisem.

Záznam DNSKEY zveřejňuje veřejný klíč používaný k ověřování podpisů. Tyto záznamy se zobrazují ve vrcholu zóny (jako example.com.) a obsahují příznaky, které označují roli klíče. Hodnota příznaku 256 označuje podpisový klíč zóny, zatímco hodnota 257 označuje podpisový klíč klíče.

Záznam DS neboli záznam podepisující delegace vytváří propojení mezi nadřazenou a podřazenou zónou. Je uložen v rodičovské zóně a obsahuje kryptografický hash veřejného klíče podřízené zóny. Například záznam DS pro zónu example.com je uložen v zóně .com, což umožňuje resolverům ověřit, že záznam DNSKEY zóny example.com je autentický. Veřejný klíč každé zóny je podepsán soukromým klíčem její nadřazené zóny, což je nezbytné pro vytvoření řetězce důvěry v DNSSEC. Tento proces zajišťuje, že důvěra přechází z nadřazené zóny na podřízenou a vytváří bezpečnou a ověřitelnou hierarchii.

Záznamy NSEC a NSEC3 umožňují ověřené odmítnutí existence. Pokud je v dotazu DNS požadováno jméno, které neexistuje, tyto záznamy dokazují, že jméno skutečně neexistuje – útočníci tak nemohou tvrdit, že neexistující jména jsou skutečná. Systém NSEC spojuje existující jména v seřazeném pořadí, zatímco systém NSEC3 používá kryptograficky zaheslovaná jména záznamů, aby se zabránilo snadnému vyčíslení obsahu zóny.

Záznamy CDS a CDNSKEY podporují automatizovanou správu klíčů. Ty umožňují podřízeným zónám signalizovat aktualizované informace DS nebo DNSKEY nadřazeným zónám, čímž se snižuje nutnost ruční koordinace, která je tradičně vyžadována u registrátorů.

Zvláštní pozornost si zaslouží oddělení klíče ZSK (Zone Signing Key) a klíče KSK (Key Signing Key). ZSK podepisuje běžná data zóny (záznamy A, AAAA, MX), zatímco KSK podepisuje pouze samotnou sadu DNSKEY RRSet. Toto oddělení umožňuje operátorům často otáčet ZSK, zatímco stabilnější KSK – a s ním spojený záznam DS v nadřazené zóně – se nemění.

Rozšíření zabezpečení jmenného systému

Rozšíření zabezpečení jmenného systému (Name System Security Extensions, NSSE ) představují ucelenou sadu protokolů a standardů určených k posílení zabezpečení systému doménových jmen (DNS). Jádrem NSSE je DNSSEC, který používá digitální podpisy a kryptografii veřejných klíčů k ověřování dat DNS a zaručení jejich integrity. Hlavním cílem těchto rozšíření zabezpečení systému je obrana proti hrozbám, jako je podvržení DNS a otrávení mezipaměti DNS – útokům,které mohou manipulovat s daty DNS a přesměrovat uživatele na podvodné stránky.

Využitím rozšíření zabezpečení jmenného systému mohou vlastníci domén zajistit, aby data DNS spojená s jejich doménami byla autentická a nezměněná při jejich cestě po internetu. Toho je dosaženo pomocí infrastruktury veřejných klíčů, kde každá podepsaná zóna zveřejňuje veřejný klíč, který resolvery používají k ověření digitálních podpisů na záznamech DNS. Díky tomu mohou uživatelé a aplikace důvěřovat, že informace, které dostávají ze systému doménových jmen, jsou legitimní, což pomáhá udržovat důvěru uživatelů a chránit je před celou řadou kybernetických hrozeb.

Jak funguje ověřování DNSSEC od konce ke konci

Ověřování DNSSEC probíhá podle cesty překladu DNS a vychází ze známého výchozího bodu, který se nazývá důvěryhodná kotva. U většiny resolverů je touto kotvou KSK kořenové zóny, distribuovaný prostřednictvím IANA a aktualizací softwaru resolveru. Když ověřující rekurzivní resolver zpracovává dotaz na podepsanou doménu, provádí kryptografické ověření na každém kroku hierarchie DNS. Řešitel již důvěřuje kořenovému klíči DNSKEY. Pomocí tohoto klíče ověří RRSIG kořenové zóny pokrývající záznam DS pro TLD (například .com). Poté načte DNSKEY domény .com a ověří, zda se shoduje s hashem DS. Tento proces pokračuje až k cílové doméně.

Zvažte dotazování na www.example.com v plně podepsaném prostředí. Řešitel ověřuje:

DNSKEY kořene (důvěryhodná kotva) podepisuje záznam DS domény .com.
DNSKEY domény .com se shoduje s hashem DS a podepisuje záznam DS domény example.com.
DNSKEY serveru example.com odpovídá jeho DS a podepisuje záznam A pro www

Tím se vytvoří nepřerušený řetězec důvěryhodnosti od kořenového serveru k požadovanému záznamu DNS. Jakákoli neshoda – neplatný podpis, vypršený RRSIG nebo selhání hashování DS/DNSKEY – přeruší řetězec.

Selhání validace můžete pozorovat pomocí testovacích domén, jako je dnssec-failed.org, které ICANN záměrně špatně nastavila. Validující resolvery vrátí pro tuto doménu SERVFAIL a zcela zablokují přístup. Pro uživatele za nevalidujícími resolvery (celosvětově stále asi 70 %) se doména normálně resolvuje – což ukazuje na mezeru v současném nasazení.

DNSSEC nemění aplikační protokoly, jako je HTTP nebo SMTP. Pouze zajišťuje, že IP adresa a další data DNS, která aplikace obdrží, jsou autentická a nezměněná. Prohlížeč stále normálně navazuje spojení HTTPS; DNSSEC pouze zaručuje, že odpovědi na dotazy DNS směřují na legitimní server.

V případě ověřeného popření existence záznamy NSEC nebo NSEC3 dokazují, že dotazované jméno nebo typ neexistuje. Překladač obdrží kryptograficky podepsaný důkaz, který ukazuje, která jména v zóně existují, což mu umožní potvrdit mezeru, v níž by se dotazované jméno objevilo.

Záznamy o prostředcích DNSSEC v praxi

Podívejme se na klíčové typy záznamů DNS související s DNSSEC podrobněji.

Záznamy RRSIG jsou generovány pomocí soukromého klíče zóny – u běžných záznamů je to obvykle klíč ZSK. Každý podpis udává algoritmus podepisování (například ECDSAP256SHA256), počet značek v podepsaném názvu, původní TTL a časové značky vzniku/expirace. Tato časová razítka jsou kritická: resolvery odmítají podpisy mimo okno jejich platnosti, které je obvykle nastaveno na 30 dní. Provozovatelé zón musí záznamy před vypršením platnosti rezignovat, aby se vyhnuli selhání validace.

Záznamy DNSKEY se objevují ve vrcholu zóny a mohou obsahovat více klíčů během období rollover. Pole příznaku rozlišuje role klíčů: 257 označuje KSK s nastaveným bitem SEP (Secure Entry Point), zatímco 256 označuje ZSK. Příznak klíče – 16bitový identifikátor vypočtený z dat klíče – pomáhá překladačům rychle přiřadit záznamy DNSKEY k odpovídajícím záznamům DS.

Záznamy DS v nadřazené zóně obsahují hash KSK podřízené zóny. Typický záznam DS obsahuje značku klíče, číslo algoritmu, typ digestu (obvykle SHA-256) a samotný digest. Při ověřování DNSSEC resolvery načtou DNSKEY dítěte, vypočítají hash a porovnají jej. Při neshodě se zobrazí stav BOGUS, což způsobí selhání validace.

Záznamy NSEC řetězí názvy zóny v kanonickém řazení. Každý NSEC ukazuje na další existující název a uvádí typy záznamů přítomné u tohoto názvu. Tím se prokáže neexistence, ale obsah zóny se vystaví „procházení zóny“ – útočníci mohou vypsat každé jméno sledováním řetězce.

NSEC3 řeší procházení zón pomocí hashování jmen pomocí soli a počtu iterací před řetězením. To sice zabraňuje triviálnímu výčtu, ale odhodlaní útočníci mohou předvídatelné názvy prolomit i offline. Příznak opt-out umožňuje nepodepsané delegace v rámci jinak podepsaných zón, což je užitečné pro velké zóny s mnoha nepodepsanými subdoménami.

Záznamy CDS a CDNSKEY odrážejí formáty DS a DNSKEY, ale jsou publikovány v samotné podřízené zóně. Provozovatelé nadřazené zóny mohou tyto záznamy dotazovat a automaticky aktualizovat záznamy o podepisujících delegacích, což zjednodušuje převádění klíčů a počáteční nasazení DNSSEC.

Seskupování záznamů DNS

Základním aspektem implementace DNSSEC je seskupování záznamů DNS do sad záznamů o prostředcích (RRSets). Sada RRSet je kolekce záznamů DNS, které mají v rámci zóny stejný název a typ. Namísto podepisování jednotlivých záznamů podepisuje DNSSEC celou sadu RRSIG jediným záznamem RRSIG. Tento přístup zefektivňuje proces podepisování a ověřování dat DNS, což je efektivnější jak pro vlastníky domén, tak pro ověřující resolvery.

Seskupování záznamů DNS do sad RRSets nejen zjednodušuje implementaci DNSSEC, ale také zlepšuje spravovatelnost infrastruktury DNS. Při změně jakéhokoli záznamu v rámci sady RRSet se celá sada znovu podepíše, čímž se zajistí zachování integrity a pravosti všech souvisejících dat DNS. Pro vlastníky domén to znamená méně komplikací při správě podpisů a robustnější obranu proti manipulaci nebo neoprávněným změnám jejich záznamů DNS. Seskupování záznamů DNS je nakonec osvědčeným postupem, který podporuje škálovatelnost a zabezpečení moderní infrastruktury DNS.

Podpisový klíč zóny, režimy podepisování a správa klíčů

Správa klíčů DDNSSEC se soustředí na dvě různé role. Podpisový klíč zóny (ZSK ) se stará o každodenní podepisování dat zón A, AAAA, MX, TXT a dalších běžných záznamů. Podpisový klíč (KSK) plní omezenější, ale kritickou funkci: podepisuje pouze sadu DNSKEY RRSet, čímž vytváří důvěryhodné spojení se záznamem DS nadřazené zóny.

Provozovatelé tyto role oddělují z dobrých důvodů. Soukromý klíč ZSK se používá často a je vystaven vyššímu riziku vystavení, takže jeho rotace každých 30-90 dní omezuje možné škody způsobené kompromitací. KSK se mění zřídka – jednou ročněnebo méně, protožekaždá rotace vyžaduje aktualizaci záznamu DS v nadřazené zóně, což obvykle vyžaduje koordinaci registrátora.

Pro implementaci DNSSEC existují tři hlavní režimy podepisování:

Offline podepisování: Zóna se podepisuje na počítači nebo na HSM, kde je podepsaný soubor zóny přenesen na autoritativní servery. Nejlepší pro statické zóny, kde bezpečnost převažuje nad provozním komfortem.
Centralizované online podepisování: Vyhrazená podpisová služba přijímá nepodepsané aktualizace a podepisuje je před distribucí na autoritativní servery DNS. Vyvažuje bezpečnost s podporou dynamických aktualizací.
Podepisování za běhu: Autoritativní servery generují podpisy DNSSEC v reálném čase, jak přicházejí požadavky DNS. Hodí se pro vysoce dynamické zóny, ale zvyšuje riziko odhalení klíčů v případě kompromitace serverů.

Převrácení klíče vyžaduje pečlivé načasování, aby nedošlo k přerušení řetězce důvěry. Standardní přístup předem publikuje nové klíče: přidá nový klíč do sady DNSKEY RRSet, počká na vypršení platnosti mezipaměti (obvykle dvě periody TTL) a poté starý klíč vyřadí. V případě přechodu na novou zónu KSK se musí nová zóna DS před odstraněním staré zóny KSK také propagovat v nadřazené zóně.

Převrácení kořenového systému KSK v roce 2018 ukázalo, o co jde. Navzdory rozsáhlým přípravám se přibližně 0,3 % resolverů nepodařilo aktualizovat své kotvy důvěryhodnosti a došlo k dočasným reakcím SERVFAIL. U jedné zóny se takové chyby mohou zdát zanedbatelné – alepro postižené uživatele efektivně vyřadí doménu z provozu.

Delegace Signner

Záznam DS (Delegation Signer) je základním kamenem řetězce důvěryhodnosti DNSSEC, který spojuje zabezpečení podřízené zóny s její nadřazenou zónou v hierarchii DNS. Záznam DS obsahuje kryptograficky zaheslovanou verzi klíče KSK (Key Signing Key) podřízené zóny a je zveřejněn v nadřazené zóně. To umožňuje rekurzivním resolverům ověřit, že záznam DNSKEY prezentovaný podřízenou zónou je autentický a že s ním nebylo manipulováno.

Vytvořením tohoto spojení umožňuje záznam DS vlastníkům domén rozšířit důvěryhodnost z nadřazené zóny až na vlastní data DNS a zajistit, aby byl každý krok v procesu překladu ověřen. Tento mechanismus je nezbytný pro zachování integrity celé infrastruktury DNS, protože brání útočníkům v tom, aby v jakémkoli bodě řetězce vložili podvodná data DNS. Pro vlastníky domén je správná konfigurace záznamů o podepisování delegací zásadním krokem při zavádění technologie DNSSEC a ochraně jejich domén před útoky na základě DNS.

Výhody a omezení DNSSEC

Hlavním přínosem technologie DNSSEC je ochrana proti útokům typu DNS cache poisoning a DNS spoofing. Díky kryptografickému prokazování pravosti odpovědí brání útočníkům v tichém přesměrování uživatelů na podvodné stránky nebo v zachycení e-mailů prostřednictvím falešných záznamů MX. Zranitelnost Kaminsky z roku 2008 ukázala, jak ničivé mohou být takové útoky; DNSSEC je zásadně zneúčinňuje proti podepsaným zónám.

Kromě základní ochrany umožňuje DNSSEC i pokročilé bezpečnostní aplikace. DANE (DNS-Based Authentication of Named Entities) umožňuje vlastníkům domén zveřejňovat informace o certifikátech TLS přímo v systému DNS pomocí záznamů TLSA. Lze tak ověřovat certifikáty pro servery SMTP nebo webové služby, aniž by bylo nutné spoléhat pouze na tradiční certifikační autority. Takové aplikace vyžadují ověřená data DNS – přesně to, co poskytuje DNSSEC.

Stejně důležité je pochopit i omezení:

Žádná důvěrnost: DNSSEC ověřuje, ale nešifruje. Dotazy DNS a odpovědi na dotazy DNS zůstávají viditelné pro pozorovatele. Šifrování vyžaduje DNS přes TLS nebo DNS přes HTTPS.
Žádná ochrana proti DDoS: DNSSEC nedokáže zastavit volumetrické útoky na infrastrukturu DNS. Ve skutečnosti mohou větší podepsané odpovědi potenciálně zhoršit zesílení útoků.
Žádná ochrana proti legitimně vypadajícím hrozbám: DNSSEC nedokáže zabránit typosquattingu ani tomu, aby uživatelé důvěřovali klamavým doménovým jménům, která jsou legitimně registrovaná a řádně podepsaná.

Výkonnostní aspekty zahrnují výrazně větší odpovědi DNS – signaturypřidávají zhruba 500 bajtů na sadu RRSet. To někdy vyvolává zpětný přenos TCP (zvyšuje latenci) a zvyšuje spotřebu šířky pásma. Otevřené resolvery s technologií DNSSEC mohou ve srovnání s běžným systémem DNS zesílit útoky odrazem 50x nebo vícekrát.

Navzdory těmto kompromisům bezpečnostní organizace včetně ICANN a NIST doporučují DNSSEC pro domény s vysokou hodnotou. Režijní náklady jsou skutečné, ale u veřejně přístupných služeb, kde by podvržení DNS mohlo umožnit závažné útoky, ochrana ospravedlňuje složitost.

Rizika, výzvy a důvody, proč je přijetí stále nerovnoměrné

DNSSEC přináší provozní rizika, která vysvětlují velkou část váhání s přijetím. Chybná konfigurace – vypršení platnosti podpisů, neshody DS/DNSKEY nebo neplatné řetězce podpisů – způsobují selhání validace. Pro zhruba 30 % uživatelů, kteří stojí za validací resolverů, přestane chybně nakonfigurovaná zóna jednoduše fungovat. Nedochází k postupné degradaci; dotazy vracejí SERVFAIL.

Zavádění DNSSEC zpomaluje několik překážek:

Koordinace více stran: Podepisování vyžaduje koordinaci mezi vlastníky domén, registrátory a poskytovateli hostingu DNS. Záznamy DS musí procházet systémy registrátorů, aby se dostaly do nadřazené zóny.
Mezery v odbornosti: Mnoho organizací nemá zkušenosti s DNSSEC. Obavy z výpadků způsobených chybnou konfigurací jim brání začít.
Starší infrastruktura: Některá podniková prostředí obsahují resolvery nebo zařízení, která plně nepodporují ověřování DNSSEC, což způsobuje problémy s kompatibilitou.

Statistiky adopcí ukazují nerovnoměrný pokrok. Kořenová zóna DNS je podepsána od roku 2010 a DNSSEC nyní podporuje více než 1 400 domén nejvyšší úrovně. Přijetí druhé úrovně se však dramaticky liší. Zóna .nl přesahuje 95 % podepsaných zón, což je dáno pobídkami registrátorů a povinnými zásadami. Naproti tomu v zóně .com je to přibližně 1,5 % – milionydomén zůstávají nepodepsané.

Na straně resolverů měření APNIC naznačují, že přibližně 30 % DNS resolverů provádí globální ověřování DNSSEC, což je nárůst oproti přibližně 10 % v roce 2018. Pokrok pokračuje, ale většina koncových uživatelů stále dostává nevalidované odpovědi DNS.

DNSSEC představuje i další bezpečnostní aspekty než jen selhání validace. Velké množství podepsaných odpovědí činí autoritativní servery atraktivními pro útoky DNS amplification. Provozovatelé musí zavést omezení rychlosti odpovědí a dodržovat osvědčené postupy pro konfiguraci resolverů, aby se nestali nevědomou útočnou infrastrukturou.

Významné organizace se nadále zasazují o širší přijetí. ICANN vydává příručky pro zavádění a národní agentury pro kybernetickou bezpečnost stále častěji doporučují DNSSEC pro vládní domény a domény kritické infrastruktury. Podle prognóz by přijetí druhé úrovně mohlo do roku 2030 dosáhnout 50 %, protože automatizace prostřednictvím CDS/CDNSKEY snižuje provozní potíže.

Provoz v reálném světě: Podpisový ceremoniál kořenové zóny DNS a kotvy důvěryhodnosti

Kořenová zóna DNS zaujímá v architektuře DNSSEC jedinečné postavení. Vzhledem k tomu, že kořenová zóna nemá nadřazenou zónu, která by poskytovala záznam DS, musí být KSK kořenové zóny důvěryhodná mimo pásmo jako konečná důvěryhodná kotva. Na správném nastavení této funkce nesmírně záleží – každýřetězec důvěryhodnosti DNSSEC má svůj původ právě zde.

ICANN pořádá čtyřikrát až šestkrát ročně v zabezpečených prostorách v USA a Evropě slavnostní podepisování kořenových adres. Tyto obřady zahrnují mimořádné procedurální kontroly: V hardwarových bezpečnostních modulech (HSM) je uložen kořenový soukromý klíč, k němuž má přístup pouze několik kryptografických úředníků, kteří používají čipové karty a PINy současně. Fyzické zabezpečení zahrnuje pytle s ochranou proti manipulaci, monitorované trezory a kompletní videodokumentaci.

První podepsání kořenové zóny v červenci 2010 znamenalo přechod DNSSEC od teorie k praktickému globálnímu nasazení. Přechod na systém KSK z roku 2018, který nahradil původní systém KSK z roku 2010 systémem KSK-2016, prověřil schopnost systému aktualizovat základní kotvu důvěry. Navzdory rozsáhlému oslovení se přibližně 0,2 % řešitelů setkalo s problémy způsobenými zastaralým softwarem nebo konfigurací. Budoucí přechody jsou plánovány na polovinu roku 2020.

Rekurzivní překladače získávají kořenovou důvěryhodnou kotvu prostřednictvím softwarových distribucí nebo automatických aktualizačních protokolů spravovaných organizací IANA. Moderní software resolveru obvykle obsahuje aktuální kotvy a mechanismy pro získávání aktualizací, které zajišťují, že řetězec důvěry zůstane při změně klíčů neporušený.

Tyto obřady se mohou zdát složité, ale poskytují oprávněnou jistotu. Integrita kořenové zóny je základem DNSSEC v celosvětovém měřítku a zdokumentovaný a auditovatelný proces zvyšuje důvěru, že tato kritická infrastruktura funguje s náležitou přísností.

Na obrázku je zobrazeno zabezpečené datové centrum plné uspořádaných serverových stojanů, které ukazuje pokročilou bezpečnostní infrastrukturu určenou k ochraně kritických dat DNS a zajištění bezpečnostních rozšíření systému, jako je například ověřování DNSSEC. Prostředí zdůrazňuje důležitost zabezpečení dotazů DNS a zachování integrity systému doménových jmen.

Nasazení DNSSEC na vašich doménách

Jste připraveni povolit DNSSEC pro své domény? Proces zahrnuje několik fází, od ověření až po průběžnou údržbu.

Předpoklady pro potvrzení:

Vaše doména nejvyšší úrovně podporuje DNSSEC (podívejte se do zdrojů ICANN pro zavádění).
Váš registrátor přijímá podání záznamů DS
Váš poskytovatel hostingu DNS podporuje podepisování zón a správu DNSKEY.

Mnoho spravovaných poskytovatelů DNS, jako je Cloudflare a AWS Route 53, zvládá podepisování automaticky. V případě samostatně spravovaných zón budete potřebovat nástroje pro podepisování kompatibilní se softwarem autoritativního serveru.

Typické kroky nasazení:

Generování párů ZSK a KSK (nebo povolení podepisování spravovaného poskytovatelem)
Podepsání zóny DNS a místní ověření podpisů DNSSEC
Publikování záznamů DNSKEY (a volitelně CDS/CDNSKEY pro automatizovanou správu DS).
Předkládání záznamů DS prostřednictvím rozhraní vašeho registrátora
Nechte čas na šíření a pak ověřte celý řetězec.

Stejně důležitá je i validace. Pokud vaše organizace provozuje rekurzivní resolvery, povolte validaci DNSSEC (např. dnssec-validation yes v BIND). Testujte proti známým doménám: správně podepsané weby by měly vracet příznak AD (Authenticated Data), zatímco dnssec-failed.org by měl dávat SERVFAIL.

osvědčené provozní postupy:

Sledování vypršení platnosti podpisu: Platnost RRSIG je obvykle 30 dní. Automatizujte rezignaci v dostatečném předstihu před vypršením platnosti.
Testování převrácení klíčů: Před produkcí si postup přechodu na nový klíč vyzkoušejte ve zkušebním prostředí.
Implementace upozornění: Nakonfigurujte monitorování selhání validace DNSSEC na resolverech.
Dokumentujte postupy: Přehledné knihy postupů zabraňují panice během incidentů nebo plánovaných přejezdů.

Přesná rozhraní se u jednotlivých registrátorů a poskytovatelů liší, proto se zaměřte spíše na pochopení základních úkolů než na zapamatování konkrétních kliknutí na tlačítka. Cílem je nasadit DNSSEC bez výpadků – pečlivápříprava a testování to umožňují.

Osvědčené postupy pro DNSSEC

Úspěšné nasazení technologie DNSSEC vyžaduje více než jen umožnění podepisování – vyžaduje neustálou pozornost věnovanou detailům a dodržování osvědčených postupů v oboru. Vlastníci domén by měli upřednostňovat pravidelnou rotaci klíčů, aby minimalizovali riziko jejich kompromitace, a zajistit bezpečné uložení všech soukromých klíčů, ideálně pomocí hardwarových bezpečnostních modulů nebo jiných chráněných prostředí.

Zásadní je průběžné sledování validace DNSSEC; to zahrnuje sledování dat vypršení platnosti podpisu a včasné odstoupení od záznamů před vypršením jejich platnosti. Je také důležité ověřit, zda všechny součásti infrastruktury DNS – autoritativní servery, rekurzivní resolvery a rozhraní registrátorů – plně podporují implementaci a ověřování DNSSEC.

Dalším zásadním krokem je testování. Vlastníci domén by měli pravidelně kontrolovat, zda jsou jejich data DNS správně podepsána a ověřena, a to pomocí nástrojů a testovacích domén, které simulují úspěšné i neúspěšné scénáře ověřování. Dodržováním těchto osvědčených postupů mohou vlastníci domén udržovat odolnou infrastrukturu DNS, chránit své uživatele před útoky na DNS a zajistit trvalou integritu a důvěryhodnost svého systému doménových jmen.

Závěr a další kroky

DNSSEC mění systém doménových jmen z architektury, která je založena na důvěryhodnosti všeho, na architekturu s kryptografickým ověřováním pomocí digitálních podpisů a hierarchickým řetězcem důvěryhodnosti, která řeší zranitelnosti existující od doby, kdy byl systém DNS v 80. letech 20. století navržen. Ochranné mechanismy – podpisy RRSIG, vazby DNSKEY/DS a ověřené odmítnutí prostřednictvím NSEC/NSEC3 – zabraňují útokům typu DNS cache poisoning a DNS spoofing, které by jinak mohly uživatele v tichosti přesměrovat. V případě existujících záznamů DNS obsahujících podvodná data DNS ověřující resolvery jednoduše zcela odmítnou zmanipulovaná data DNS.

Navzdory provozní složitosti DNSSEC od podepsání kořenového adresáře v roce 2010 značně vyspěl. Široká podpora TLD, zlepšující se automatizace prostřednictvím CDS/CDNSKEY a rostoucí míra validace resolverů naznačují dynamiku. Významné bezpečnostní organizace jej podporují pro domény, u nichž by podvržení mohlo způsobit vážné škody.

Osoby odpovědné za infrastrukturu DNS mohou podniknout následující praktické kroky:

Soupis domén a zón, které jsou aktuálně podepsané.
Plánujte postupné zavádění DNSSEC počínaje kritickými veřejnými službami.
Povolit ověřování DNSSEC na interních resolverech, pokud je to možné.
Zavedení postupů monitorování a reakce na incidenty v případě selhání DNSSEC

Mezi další zdroje informací patří základní RFC DNSSEC (4033, 4034, 4035), průvodci nasazením od ICANN a regionálních síťových informačních center a testovací nástroje, jako je DNSSEC Analyzer společnosti Verisign. Cesta od pochopení k akci je jasnější než kdykoli předtím – a přínosy v oblasti zabezpečení ospravedlňují investice.

superrychlé

1.2s

vynikající

4.7

$0.59/měs.

Tvůrce webových stránek s umělou inteligencí a kompletní integrací sady Suite
Na míru vytvořený ovládací panel hPanel s vynikajícím uživatelským prostředím
Cenově výhodné ceny s vysokým výkonem jako jednička na trhu

rychlé

1.3s

vynikající

4.9

$2.99/měs.

Optimalizace řízené umělou inteligencí a chytré nástroje umělé inteligence pro tvorbu obsahu
Cloudová infrastruktura Google s vlastní MySQL a vestavěným ukládáním do mezipaměti
98% spokojenost zákazníků a více než 3 miliony hostovaných domén

velmi dobré

4.3

$30.00/měs.

Spravovaný hosting WordPress vytvořený pro růst a škálování firem
Zabezpečení podnikové třídy a 99,99% uptime SLA
Oceněná nepřetržitá podpora s vysokým rozlišením první interakce

Ušetřete 85 % na 48měsíčním prémiovém plánu + 3 měsíce zdarma

Ověřeno

85% OFF Získat nabídku

Ušetřete ~17 % při ročním vyúčtování (2 měsíce zdarma)