DS záznam
DS záznam (zkratka pro Delegation Signer) je speciální typ DNS záznamu, který se používá v rámci DNSSEC – bezpečnostního rozšíření DNS systému. Tento záznam propojuje doménu s tzv. „podpisovým klíčem“ její DNS zóny, čímž umožňuje ověřit pravost DNS záznamů a chrání doménu proti podvržení (například útokům typu DNS spoofing nebo cache poisoning).
Jednoduše řečeno: DS záznam je jako digitální pečeť, která říká: „Tato doména má být zabezpečená, tady je otisk jejího veřejného klíče.“
Jak to funguje:
Pokud má doména zapnutou službu DNSSEC, její záznamy jsou podepsané speciálním kryptografickým klíčem. Aby bylo možné tuto ochranu důvěryhodně ověřit, je potřeba, aby i nadřazená doména (např. .cz) věděla, že daná doména používá DNSSEC. A právě k tomu slouží DS záznam, který se ukládá do zóny nadřazené domény.
Při kontrole DNSSEC klient (např. prohlížeč nebo resolver) porovnává otisk klíče v DS záznamu s tím, co najde v doméně samotné. Pokud údaje sedí, ví, že záznamy nebyly po cestě pozměněny.
Příklad DS záznamu:
mojedomena.cz. IN DS 2371 13 2 3A3F9E09E3D8EED12C9D232F5749D5E9E8ABCE34F12A9C7A4F83F…Záznam obsahuje:
- ID klíče – identifikátor použitého DNSSEC klíče
- Algoritmus – číslo označující typ kryptografie (např. RSA, ECDSA)
- Typ otisku (digest type) – typ hashovací funkce (např. SHA-256)
- Otisk (digest) – samotný otisk (hash) veřejného klíče domény
K čemu se používá:
- Pro propojení DNSSEC zabezpečení mezi doménou a její nadřazenou TLD (např. .cz, .com).
- Pro ověření pravosti DNS záznamů domény – chrání před jejich podvržením.
- Jako součást tzv. řetězce důvěry (chain of trust) v systému DNSSEC.