DNSSEC – ochraňte zdarma vaše návštěvníky
DNSSEC je vhodným doplňkem SSL certifikátu při zabezpečení webových stránek. Jedná se o způsob zabezpečení domény, kterou spravuje a zajišťuje váš registrátor. Zajišťuje platnost, důvěryhodnost a integritu DNS záznamů, které při surfování využíváte.
Bezplatná výhoda k vaší doméně
Největší výhodou DNSSECu je krom robustnosti hlavně jeho bezplatnost. Vlastník domény, který chce DNSSEC využít, nemusí nést žádné náklady. Stačí vlastnit doménu, kterou je možné DNSSECem podepsat (například CZ nebo EU). Návštěvník takové domény využije vyšší bezpečnost standardními prostředky a nemusí nic v počítači nastavovat. Každý počítač s přístupem na internet používá DNS servery, které DNSSEC využívá, a rozšiřuje tak již zavedenou technologii překladu doménových jmen.
Jak DNSSEC funguje?
Hlavní výhodou z pohledu bezpečnosti je nemožnost podvržení DNS záznamů uživateli, tedy nemožnost jeho přesměrování na podvodný web (phishing). DNS záznamy jsou registrátorem digitálně podepsány a podpisový klíč (otisk veřejného klíče sloužícího k ověření podepsaných DNSSEC záznamů) je publikován do nadřazené zóny (autority), u které si návštěvník jejich pravost a platnost ověří. Tím je zaručena jejich důvěryhodnost, podobně jako funguje důvěryhodnost u SSL certifikátů. U DNSSEC však nejsou na rozdíl od SSL certifikátů certifikační autority třetí strany. U obou technologií je shodně možné platnost digitálního podpisu ověřit u nadřazené autority (zóny). Pokud narazíte na neplatný záznam, budete DNSSECem ochráněni a váš prohlížeč na stránku nevstoupí. Vy však neznáte důvod, proč se web nezobrazil, protože přímo v prohlížeči DNSSEC podporován není.
Proč tomu tak je?
DNS klient, který je přítomen ve vašem operačním systému a posílá dotazy na DNS server poskytovatele, se nazývá stub-resolver. V systému Windows 7 je stub-resolver systému sice nevalidující (aktivně neověřuje platnost DNSSEC záznamu), ale je tzv. security aware, a zajímá se o platnost odpovědi. V dotazu na DNS server (resolver) uvádí, že očekává určení výsledku validace. V případě záporné validace DNS serveru se odpověď vrací s chybovým příznakem a ke klientovi se ani nedostane. Vy se na danou doménu nedostanete a neznáte důvod – můžete si tedy myslet, že má dotyčný web výpadek či chybu. To uživatele paradoxně nutí navštívit tuto doménu znovu a prověřit dostupnost z jiného systému, který však DNSSEC nemusí používat (využívá nevalidující resolver).
Bezpečnost surfování může návštěvník snadno zvýšit tím, že místo DNS serverů poskytovatele bude používat veřejné DNS servery, které DNSSEC využívají a hlídají platnost záznamu. Takovému serveru se říká validující resolver (ověřuje platnost odpovědi, tedy podpisu DNS záznamu) a v Česku je provozuje například CZ Nic. Váš systém pravděpodobně umí požádat o sdělení výsledku validace (security-aware stub-resolver), a tudíž i využít zabezpečení DNSSECem. Pokud necháváte starost o DNS čistě na vašem poskytovateli, zřejmě se předem zříkáte DNSSECu a bezpečnosti, kterou přináší.
Mezi diskutabilní aspekty DNSSECu patří poměrně nízký počet TLD domén, které ho podporují. DNSSEC také nezaručí, že k podvodným stránkám se uživatel nedostane jiným způsobem, jako je phishingový e-mail nebo úprava souboru HOSTS. Systémy Windows resolvují nejdříve v tomto seznamu a až potom pošlou dotaz na DNS server, což může být prostor pro útok. DNSSEC tedy nejlépe využije znalý uživatel s bezpečnostními návyky.