DNSSEC v testovacím provozu

[gtranslate]

U námi registrovaných CZ domén ode dneška nabízíme technologii DNSSEC. Ostré spuštění předpokládáme na konci července, ale ortodoxní fanoušci DNSSECu si jej mohou aktivovat již nyní.

Od 15.6.2011 je možné si u CZ domén, u kterých jsme registrátorem, aktivovat technologii DNSSEC.

DNSSEC je technologie využívající elektronického podpisu k ověřování původu dat v DNS záznamech. Zamezuje tomu, aby vám mohl útočník podstrčit falešné DNS záznamy a tím vás např. nasměrovat na podvodné WWW stránky. Bližší informace např. na Wikipedii. Pokusíme se o obecně této technologii brzy napsat více.

DNSSEC nabízíme v testovacím režimu. To znamená, že ji nedoporučujeme aktivovat u důležitých domén. Sice jsme vše důkladně otestovali, ale přesto zatím negarantujeme plnou funkčnost a může docházet k nějakým změnám a úpravám. Během tohoto období provedeme několik pokusných výměn klíčů (ZSK i KSK), abychom si ověřili, že vše bude fungovat korektně a nedojde k žádnému problému.

Nasazení DNSSEC do ostrého provozu předpokládáme v druhé polovině července.

DNSSEC nabízíme prozatím pouze u CZ domén a pouze u takových, u kterých jsme registrátorem. Později nabídneme DNSSEC také u domén EU a gTLD (nejdříve v srpnu).

Používání DNSSEC a veškeré změny jeho nastavení jsou a budou zcela bezplatné.

Použití DNSSEC

Nabízíme 3 možnosti nastavení DNSSEC:

  1. Nepoužívat DNSSEC – výchozí volba, doména není chráněna technologií DNSSEC.
     
  2. Použít DNSSEC WEDOS – lze použít pouze u domén, které využívají naše DNS servery. V takovém případě se aktivuje DNSSEC, DNS záznamy se podepíší našimi klíči a u domény se nastaví náš KEYSET. My se také staráme o příslušné obměny klíčů. Zákazník se nemusí starat o nic.
     
  3. Použít vlastní KEYSET – lze použít pouze u domén, které NEpoužívají naše DNS servery. Zde si může zákazník u domény nastavit libovolný KEYSET, ale o podepsání DNS záznamů se musí na DNS serverech postarat sám.

Naši zákazníci si tedy mohou již nyní aktivovat DNSSEC u svých CZ domén v zákaznické administraci. Více informací ve znalostní bázi: Nastavení DNSSEC u domény.

Zda v budoucnu aktivujeme DNSSEC automaticky u všech domén našich zákazníků, o tom se zatím nerozhodlo. Nicméně se spíše přikláníme k tomu, že to dělat nebudeme.

Samozřejmě rádi uvítáme veškeré vaše připomínky a poznatky.

DNSSEC v akci

Pro kontrolu nastavení a správné funkčnosti DNSSEC u domény doporučujeme následující nástroje:

  • DNSSEC Validátor – plugin do prohlížeče Firefox, vyvíjený českou organizací CZ.NIC
  • DNS visualization tool – nástroj pro analýzu a grafické znázornění DNS záznamů a DNSSEC klíčů a jejich stavu

Prohlédnout a zkontrolovat si to můžete např. na naší testovací doméně nasweb.cz.