Pokud jste byli na letošním InstallFestu, možná jste zahlédli i přenášku Tomáše Hály z firmy Active 24 o tom, co může provider udělat pro větší bezpečnost na Internetu. Přednáška to byla tak zajímavá, že spustila zájem o DNSSEC mezi strahovskými adminy. Netrvalo dlouho a celá síť SH byla ochráněna systémem DNSSEC.

Co to znamená?

Systém DNSSEC je rozšířením standardního systému DNS, který se v Internetu stará o překlad doménových jmen na IP adresy (a naopak). Toto rozšíření má za cíl zajistit autenticitu informací, tedy to, že daná IP adresa skutečně patří doménovému jménu, které jsme zadali do prohlížeče. Představuje tedy přídavný stupeň bezpečnosti proti nejrůznějším útokům, jako je Phishing, Man in the middle a podobně.

Jak DNSSEC funguje?

Je-li nějaká doména chráněna systémem DNSSEC, znamená to, že odpovědi DNS serverů této domény jsou opatřeny elektronickým podpisem. Klient pak může (ale nemusí) platnost podpisu ověřit, čímž zjistí, že jsou data v DNS odpovědi důvěryhodná. Podrobný výklad funkce DNSSEC najdete na http://www.dnssec.cz.

Všechny Strahovské domény byly takto podepsány. Zároveň Strahovské DNS servery provádějí ověření (validaci) podpisů v české národní doméně.

Jak poznám, které domény jsou systémem DNSSEC zabezpečeny?

Nejjednodušší způsob, je instalace Validátoru DNSSEC jako rozšíření pro Firefox. Toto rozšíření zobrazí u každé podepsané domény barevnou ikonu klíčku v adresním řádku, jehož barva informuje o stavu podpisu – zelená znamená, že podpis se podařilo ověřit, červená znamená, že podpis je neplatný (např. http://www.rhybar.cz − v takovém případě se stránka nezobrazí) a nakonec žlutá značí, že podpis sice je validní, ale nepodařilo se jeho pravost zkontrolovat v nadřazené doméně.

Napsal Ondřej Caletka, alias Oskar