U námi registrovaných CZ domén ode dneška nabízíme technologii DNSSEC. Ostré spuštění předpokládáme na konci července, ale ortodoxní fanoušci DNSSECu si jej mohou aktivovat již nyní.
Od 15.6.2011 je možné si u CZ domén, u kterých jsme registrátorem, aktivovat technologii DNSSEC.
DNSSEC je technologie využívající elektronického podpisu k ověřování původu dat v DNS záznamech. Zamezuje tomu, aby vám mohl útočník podstrčit falešné DNS záznamy a tím vás např. nasměrovat na podvodné WWW stránky. Bližší informace např. na Wikipedii. Pokusíme se o obecně této technologii brzy napsat více.
DNSSEC nabízíme v testovacím režimu. To znamená, že ji nedoporučujeme aktivovat u důležitých domén. Sice jsme vše důkladně otestovali, ale přesto zatím negarantujeme plnou funkčnost a může docházet k nějakým změnám a úpravám. Během tohoto období provedeme několik pokusných výměn klíčů (ZSK i KSK), abychom si ověřili, že vše bude fungovat korektně a nedojde k žádnému problému.
Nasazení DNSSEC do ostrého provozu předpokládáme v druhé polovině července.
DNSSEC nabízíme prozatím pouze u CZ domén a pouze u takových, u kterých jsme registrátorem. Později nabídneme DNSSEC také u domén EU a gTLD (nejdříve v srpnu).
Používání DNSSEC a veškeré změny jeho nastavení jsou a budou zcela bezplatné.
Použití DNSSEC
Nabízíme 3 možnosti nastavení DNSSEC:
- Nepoužívat DNSSEC – výchozí volba, doména není chráněna technologií DNSSEC.
- Použít DNSSEC WEDOS – lze použít pouze u domén, které využívají naše DNS servery. V takovém případě se aktivuje DNSSEC, DNS záznamy se podepíší našimi klíči a u domény se nastaví náš KEYSET. My se také staráme o příslušné obměny klíčů. Zákazník se nemusí starat o nic.
- Použít vlastní KEYSET – lze použít pouze u domén, které NEpoužívají naše DNS servery. Zde si může zákazník u domény nastavit libovolný KEYSET, ale o podepsání DNS záznamů se musí na DNS serverech postarat sám.
Naši zákazníci si tedy mohou již nyní aktivovat DNSSEC u svých CZ domén v zákaznické administraci. Více informací ve znalostní bázi: Nastavení DNSSEC u domény.
Zda v budoucnu aktivujeme DNSSEC automaticky u všech domén našich zákazníků, o tom se zatím nerozhodlo. Nicméně se spíše přikláníme k tomu, že to dělat nebudeme.
Samozřejmě rádi uvítáme veškeré vaše připomínky a poznatky.
DNSSEC v akci
Pro kontrolu nastavení a správné funkčnosti DNSSEC u domény doporučujeme následující nástroje:
- DNSSEC Validátor – plugin do prohlížeče Firefox, vyvíjený českou organizací CZ.NIC
- DNS visualization tool – nástroj pro analýzu a grafické znázornění DNS záznamů a DNSSEC klíčů a jejich stavu
Prohlédnout a zkontrolovat si to můžete např. na naší testovací doméně nasweb.cz.