Nastavení DNSSEC a aktivace u CZ.NIC

DNSSEC je rozšíření systému doménových jmen (DNS), které zvyšuje jeho bezpečnost. DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena. Je možné systém chápat jako analogie zabezpečení protokolu HTTP šifrováním SSL.

Nastavení je závislé od prostředí provozování služby DNS. Pokud využíváte DNS na linux base strojích, tak Vám s nastevením Bindu pomůže nejlépe přímo CZ.NIC.

Další možností řešení je využití hostovaných řešení služeb DNS. Jednou z velmi rozšířených služeb je Cloudflare , která nabízí daleko větší počet služeb zabezpečení DNS než DNSSEC a to z velké části zdarma.

Pokud chcete využít jejich služby tak je třeba převést doménu pod její správu (postup zde ). Pokud budete mít převedeno tak pro nastavení DNSSEC v této službě stačí v záložce DNS sekci DNSSEC službu povolit, Systém Vám vygeneruje veřejný klič Public Key a další parametry  – Flags (vždy 257 – KSK), Protocol (vždy 3 – DNSSEC) a Algorithm (v současné době 13 – SHA256).

To je vše!

Nyní by jste měli zavést nový KEYSET identifikátor u registrátora Vaší domény nicméně můžete taky jen chvíli počkat .Po nějaké době Vám příjde email od CZ.NIC (mě dorazil do 24h) o tom, že nadetekoval nastavené DNSSEC u mé domény. Přítomnost těchto záznamů považuje za žádost o zveřejnění těchto klíčů v zóně .cz a Vaše doména je nyní v režimu automatizované správy klíčů DNSSEC.

Pokud po dobu dalších 7mi dnů neprovedete žádnou upravu v nastavení DNSSEC klíčů tak klič CZ.NIC zaregistruje a přiřadí k dané doméně.

Popis této funkce je možno dočíst na stránkách CZ.NIC .