Slovníček IT pojmov 8: Čo je DNSSEC a ako funguje?
DNSSEC je ako sekuriťák pred dverami DNS serveru
DNSSEC (Domain Name System Security) má v podstate rovnakú funkciu ako HTTPS protokol, o ktorom tu bola reč naposledy – len na vyššej úrovni. Predstavte si ho ako sekuriťáka, ktorý stojí pred dverami samotného DNS serveru a kontroluje IP adresy všetkých domén.
Chráni návštevníkov webov pred takzvanými MITM útokmi (z angl. Man in the Middle, teda prostredník). Pri nich sa hackeri snažia nabúrať do DNS serveru a votrieť sa do komunikácie medzi ním a vaším počítačom.
Čo sa odohráva pri Man in the Middle útoku
Zakaždým, keď sa chcete na internete pozrieť na nejaký web, musí váš počítač od DNS zistiť IP adresu serveru, na ktorom sa daný web „fyzicky“ nachádza (tzn. kde má webhosting).
Keby sa hackerom podarilo na DNS dostať, mohli by vás jednoducho presmerovať, kam by len chceli. Napríklad na kópiu vami hľadaného webu.
Doména aj URL adresa budú navonok rovnaké, takže nič nespoznáte. Majiteľom skopírovaného webu však bude hacker.
MITM útoky sú typické pre e‑shopy, na ktorých hackeri od nič netušiacich návštevníkov inkasujú peniaze za nákupy.
O MITM útokoch sme písali tiež v predchádzajúcom článku o SSL certifikátoch.
DNSSEC je v podstate elektronický podpis. V IT reči je to ďalší DNS záznam pri doméne, ktorý overuje jej pravosť. Ten je chránený dvojitým, asymetrickým šifrovaním:
- Majiteľ domény má svoj privátny kľúč, ktorým „podpíše“ údaje o svojej doméne.
- U správcu domény je potom uložený verejný kľúč, s ktorého pomocou sa tento podpis dá overiť.
Ako funguje DNSSEC na svojich stránkach pekne vysvetľuje SK-NIC, ktorý sumarizuje aj zoznam registrátorov, od ktorých DNSSEC dostanete.
Ako zistíte, že web má DNSSEC ochranu?
Mať na doméne DNSSEC je výhodné pre všetkých:
- Návštevníkom zaisťuje bezpečnosť ich údajov a osobných údajov.
- Majiteľom webstránok pridáva na dôveryhodnosti a zároveň chráni ich zisky.
Na to, aby DNSSEC fungovalo naozaj spoľahlivo, je treba obojstranné zabezpečenie.
Chránená musí byť doména daného webu aj doména počítača (každé zariadenie pripojené na internet má svoju vlastnú doménu a IP adresu – počítačom a telefónom ju zvyčajne automaticky prideľuje operátor alebo poskytovateľ WiFi).
SK-NIC na svojom webw odporúča nástroj DNSViz, s pomocou ktorého si môžete urobiť rýchly DNSSEC test svojho pripojenia k internetu aj zabezpečenie domény.
DNSSEC je zadarmo – aktivujte si ho u svojho poskytovateľa domény
DNSSEC môžete získať pri registrácii novej .SK domény úplne zadarmo. Je však nevyhnutné si ho následne aktivovať.
Vo väčšine prípadov je to otázka niekoľkých klikov.
Napríklad vo Webglobe si stačí v zákazníckom účte pri danej doméne otvoriť záložku DNS záznamy, vybrať DNSSEC a kliknúť na aktivovať.