+420 603 196 637 +420 543 257 018 admin@zoner.cz
Magazín Interval Webmail Nápověda Kontakty Hledat

Slovník od CZECHIA.COM

Potřebujete se vyznat v pojmech ze světa domén, hostingu a online podnikání?
Náš slovní vám přináší jasná a srozumitelná vysvětlení.

Slovník

DNSKEY záznam

DNSKEY je speciální typ DNS záznamu, který slouží k ověření pravosti dalších DNS záznamů v rámci technologie DNSSEC (Domain Name System Security Extensions). Jinými slovy – DNSKEY záznam obsahuje šifrovací veřejný klíč, kterým se dá ověřit, že odpovědi od DNS serveru nebyly po cestě podvrženy nebo změněny.

Ve standardním DNS systému totiž není žádný způsob, jak si ověřit, že DNS odpověď (např. „example.cz má IP adresu 123.123.123.123“) je pravá. DNSSEC tento problém řeší tím, že každá odpověď může být podepsána digitálním podpisem. A právě DNSKEY záznam umožňuje tento podpis ověřit.

Jak DNSKEY funguje

DNSKEY záznam se používá k ověřování podpisů, které DNS server připojuje k ostatním záznamům (např. A, MX, CNAME…). Při ověření se postupuje následovně:

  1. DNS server vrátí kromě běžných údajů také digitální podpis (typ záznamu RRSIG).
  2. Klient (např. rekurzivní resolver) pomocí DNSKEY záznamu ověří, že podpis odpovídá danému záznamu.
  3. Pokud vše souhlasí, je jisté, že data opravdu pocházejí od správného správce domény a nebyla cestou pozměněna.

Z pohledu zabezpečení hraje DNSKEY podobnou roli jako veřejný klíč v HTTPS certifikátu – slouží k ověřování identity a integrity přijatých dat.

Typy DNSKEY klíčů

Každá doména využívající DNSSEC obvykle obsahuje dva typy DNSKEY klíčů:

  • ZSK (Zone Signing Key) – klíč, kterým se podepisují běžné DNS záznamy v dané zóně (např. A, MX, TXT...)
  • KSK (Key Signing Key) – klíč, kterým se podepisuje právě DNSKEY záznam, tedy ověřuje legitimita samotných klíčů

Díky tomu je možné bezpečně aktualizovat záznamy bez nutnosti měnit celou důvěryhodnost domény – KSK zůstává stabilní a ZSK se může měnit častěji.

Výhody DNSKEY (a DNSSEC):

  • Ověřuje pravost DNS dat a chrání před podvrženými odpověďmi
  • Zabraňuje útokům typu DNS spoofing nebo cache poisoning
  • Zvyšuje důvěryhodnost domény a celého řetězce DNS
  • Nezávislé ověřování – klient nemusí důvěřovat jen síti, ale má možnost si podpis sám ověřit

Nevýhody / specifika:

  • Vyšší náročnost na správu (správné generování, rotace a publikace klíčů)
  • Je třeba plná podpora na straně serveru i resolveru (ne každý DNS resolver DNSSEC ověřuje)
  • Pokud dojde k chybě v konfiguraci, doména se může stát nedostupnou – resolver odmítne nedůvěryhodné údaje

Vyhledávání

Nejpopulárnější webhostingové programy

Vyberte si ten, který vám vyhovuje

E-mail k doméně zdarma

Ke každé doméně máte od nás web, e-mail a SSL certifikát zdarma

Nejvýkonnější virtuální servery na trhu

Poskytujeme nejvyšší výkon na trhu již od roku 2014!