DNSSEC je rozšíření systému DNS (Domain Name System), které zvyšuje bezpečnost služby doménových jmen a tím i celého Internetu. DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena. Tento zatím nadstandardní způsob ochrany doménových jmen je pro všechny .cz domény registrované a spravované prostřednictvím Web4U zdarma.
Podobně jako jiné služby, které Internet nabízí, i systém doménových jmen (DNS) byl vytvořen v době, kdy bylo k Internetu připojeno pouze malé množství uzlů a provozovatelé těchto uzlů se vzájemně znali. Vzhledem k tomu, do jaké míry později internet narostl co do počtu připojených lidí a počítačů, bylo nutné začít řešit otázku bezpečnosti jednotlivých služeb. Všichni uživatelé Internetu se už neznají a je smutným faktem, že ne všichni se k němu připojují s bohulibými úmysly.
DNSSEC zvyšuje bezpečnost při používání DNS tím, že zabraňuje podvržení falešných, pozměněných či neúplných údajů o doménových jménech. Služba DNS, není-li zabezpečena pomocí DNSSEC, poskytuje potencionálnímu útočníkovi několik míst, na kterých je možné komunikaci narušit a zfalšovat údaje. Tím, že útočník změní údaje o doménových jménech, ovlivní fungování dalších internetových služeb, které může tímto zásahem zneužít. Útočník pak může například:
Uživatel přitom nemá ve většině případů šanci poznat, že se děje něco nekalého. Proti těmto útokům na DNS je však díky zavedení DNSSEC uživatel ochráněn, neboť DNSSEC plně zajistí důvěryhodnost údajů, získaných z DNS.
Všechny internetové služby (e-mail, webové stránky, instant messaging, internetové volání, ...) využívají systém doménových jmen DNS. Jeho základním principem je to, že umožňuje v adresách těchto služeb používat jména, která jsou srozumitelná a snadno zapamatovatelná pro člověka, namísto čísel, která jsou srozumitelná a potřebná pro počítače. V praxi to pak funguje tak, že kdykoliv uživatel použije jmennou adresu nějaké internetové služby (webové stránky, e-mailovou adresu atd.), je nutné ji přeložit pomocí DNS na adresu číselnou a na tuto číselnou adresu se pak počítač obrátí, aby se spojil se službou, kterou uživatel chce použít.
V případě, že útočník podvrhne číselnou adresu, uživatel se, aniž bude cokoliv tušit, dostane na úplně jiné místo, a vůbec se nespojí se službou, kterou očekával. Může to vypadat třeba jako na následujícím obrázku.
Uživatel napíše do svého prohlížeče adresu a za normálních okolností vše probíhá zeleně označenou cestou – použije server svého poskytovatele připojení (ISP), a ten z globálního DNS systému získá číselnou adresu, se kterou se uživatel spojí a používá službu, kterou chtěl. V případě, že je však číselná adresa podvržena, pak vše probíhá červeně označenou cestou a uživatel je spojen s jinou službou, aniž cokoli tuší.
Proč to může být vážný problém? Představte si že tou službou je elektronický obchod, kam vkládáte číslo karty, nebo je to služba sledující pohyby kurzů akcií, kterou používáte pro své investiční rozhodování, nebo jen odesíláte e-mail s důležitými informacemi. Ani v jednom případě nechcete, aby informace, které získáváte, byly z nedůvěryhodného (podvrženého) zdroje, a naopak aby údaje, které posíláte, nepadly do rukou někomu nepovolanému. A právě to se pomocí zneužití DNS může stát, pokud nejste chráněni pomocí DNSSEC.
DNSSEC zavádí DNS asymetrickou kryptografii - tedy používání jednoho klíče na zašifrování a jiného klíče na dešifrování obsahu. Obdobný princip je základem známějšího šifrování zpráv pomocí PGP či podepisování e-mailů elektronickým podpisem. V případě DNSSEC si držitel domény vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu. Aby byl tento klíč dostupný všem, publikuje jej držitel ke své doméně u nadřazené autority, kterou je pro všechny domény .cz registr domén .cz. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě. Vytváří se tak řetěz, který zajistí důvěryhodnost údajů, pokud není v žádném svém článku porušen, a všechny elektronické podpisy souhlasí, viz následující schéma.
Detailní informace naleznete na adrese: https://www.dnssec.cz
Zdroj: CZ.NIC, z. s. p. o.