Co je to DNSSEC a před čím chrání?
O zavedení podobné bezpečnosti se začalo hovořit už na konci devadesátých let, když Steve Bellovin publikoval způsob, jak úspěšně napadnout a zneužít DNS. Jelikož se jedná o klíčový prvek moderního internetu, začalo se uvažovat o jeho zabezpečení. První RFC (číslo 2065) bylo v tomto směru vydáno už v roce 1997 a implementační postupy se pak objevily o dva roky později v RFC 2535.
Reálná vlna zájmu o DNSSEC se ale zvedla až téměř o deset let později. V roce 2008 totiž Dan Kaminsky zveřejnil podrobností týkající se útoku na DNS servery, kterému je vlastně nemožné zcela zabránit, protože vychází ze samotných principů DNS. Více v podrobném článku Dan Kaminsky a jeho útok na DNS servery. Navíc s přibývajícími phishingovými útoky bylo zřejmé, že je třeba s bezpečností DNS začít něco dělat. Jediným řešením se ukázal právě DNSSEC, který umožňuje digitálně podepisovat veškeré záznamy, které pak může uživatelův DNS server ověřit a tím zajistit jejich nezfalšovatelnost.
Zajímají-li vás podrobnosti o DNSSEC včetně nasazení do praxe, přečtěte si náš osmidílný seriál DNSSEC a bezpečné DNS, který jsme připravovali ve spolupráci s organizací CZ.NIC, která je správcem domény CZ a stará se také o její bezpečnost.
Kdo už DNSSEC nasadil?
Česká republika byla jedním z průkopníků nasazení DNSSEC do vlastní národní domény. Kromě nás se podpory na úplném počátku dočkala také Brazílie (doména .br), Bulharsko (.bg), Puerto Rico (.pr) a Švédsko (.se). Dnes je samozřejmě zemí s podporou DNSSEC daleko více, mezi nejnovější patří Thajsko (.th), Švýcarsko (.ch), Lichtenštejnsko (.li), Niue (.nu) a také africká Namibie (.na).
V Česku byla doména CZ podepsána prvního záři 2008 a už za měsíc bylo podepsáno 245 českých domén. Bohužel mezi prvními zájemci nebyla žádná česká banka. A právě u bank dává DNSSEC největší smysl, protože ty mohou být terčem útoku na DNS. První bankovní doména byla ale podepsána až o rok později, a to doména Hypoteční banky. To už bylo ale chráněno tisíc českých domén včetně Root.cz a dalších serverů našeho vydavatelství.
Na začátku roku 2010 bylo chráněno něco málo přes 1500 českých domén. Do té doby byl nárůst poměrně pozvolný, ale na konci ledna 2010 došlo k významnému skoku. Ukažme si graf zobrazující počet českých DNSSEC domén v závislosti na čase:
Česko DNSSEC velmocí
Ve středu 27. ledna 2010 totiž oznámila společnost WEB4U, že automaticky podepsala domény všech svých zákazníků. Rázem tak počet chráněných domén vyskočil na 15 000. V pondělí 1. března pak podobnou zprávu vydala společnost Active24, která na svých serverech hostuje více než 78 000 českých domén. Rozhodnutím poskytovat zabezpečení pomocí DNSSEC zdarma chceme přispět nejen ke zvýšení bezpečnosti českého internetu, ale i poskytnout našim zákazníkům k základní registraci i další přidanou hodnotu,
řekl ke spuštění DNSSEC na všech .CZ doménách technický ředitel ACTIVE 24, Zdeněk Brůna.
Tím narostl celkový počet českých domén chráněných DNSSEC na více než 94 000. Díky tomu, co dělá registrátor ACTIVE 24 a ještě před ním udělal WEB4U pro své zákazníky, bude mít český registr nejvíce domén na světě chráněných technologií DNSSEC,
napsal na blog Vilém Sládek z organizace CZ.NIC. Daleko za námi tak budou i státy, které se k DNSSECu přihlásily dříve než my. Myslím v tuto chvíli především na Švédsko, jejichž správci domén zavedli DNSSEC jako úplně první a jsou společně s námi v rozšiřování DNSSEC nejaktivnější.
Je podle vás DNSSEC užitečný?
Česká republika se tak díky těmto dvěma společnostem stává největším uživatelem technologie DNSSEC na světě. Stále máme ale touto cestou chráněno „jen“ 15 % českých domén, kterých je v současnosti přes 655 tisíc. Doufejme, že budou přibývat další.
