Hlavní navigace

Více než polovina domén v .CZ je zabezpečena DNSSEC

Petr Krčmář

Organizace CZ.NIC oznámila, že více než 50 % českých domén je chráněno podpisy pomocí standardu DNSSEC. Ten zaručuje, že se informace od držitele domény k uživateli dostanou nezměněny.

Trvalo sedm let, než se DNSSEC v doméně .CZ rozšířil nad 50 %. Od včerejška je každá druhá česká doména chráněna elektronickým podpisem. V podvečer to na Twitteru oznámil Ondřej Filip, výkonný ředitel sdružení CZ.NIC.

Poslední čtyři roky docházelo k nárůstu velmi pozvolna, čísla se stále držela okolo 35 %. V posledních dvou týdnech ale dva velcí čeští registrátoři zavedli podporu DNSSEC pro všechny domény ve správě, čímž došlo k velkému skoku o dalších 15 %.


stats.nic.cz

Vývoj nasazení DNSSEC v čase

K dnešnímu dni je zabezpečeno 653 tisíc domén z 1,28 milionu – tedy téměř přesně 51 % domén. Další informace o českých doménách je možné najít na stats.nic.cz.


stats.nic.cz

Současný stav, většina zabezpečena

CZ.NIC patřil už v počátcích DNSSEC k průkopníkům, doména .CZ patřila k prvním podepsaným. Stále se proto drží na předních příčkách mezi doménami, na začátku prosince byla naše doména na druhém místě v poměru podepsaných domén. Před námi je jen Norská .no.


CENTR, registro.br, statdns.com

Statistiky TLD, stav k 1. prosinci 2016

Stejně tak na straně uživatelů jsme na tom velmi dobře, validuje přes 43 % z nich. Je to dáno zejména podporou největších poskytovatelů a například všichni tři čeští operátoři mají ve své síti validující resolver. Celosvětově validuje přibližně třetina uživatelů, velkou měrou se na tom podílí Google se svými veřejnými resolvery, které vyřizují asi 12 % všech požadavků na světě.


Geoff Houston, APNIC

Validuje téměř každý druhý Čech, severské země jsou před námi

DNSSEC umožňuje údaje v DNS zóně doplnit o elektronický podpis. Uživatel tak má jistotu, že nedošlo k úpravě záznamů po cestě nebo nebyla otrávena místní cache. Detaily naleznete v našem seriálu DNSSEC a bezpečné DNS. Pro jednoduché nasazení na straně autoritativního serveru je možné použít BIND 9.9 a na straně uživatele je možné validovat například pomocí resolveru Unbound.

Našli jste v článku chybu?
10. 12. 2016 15:02
Petr M (neregistrovaný)

He? To nestačí napsat, že cizí domény podepsat umíte, ale vlastní ne?

Jako potenciální zákazník, se na to dívám takhle (a každý NE je důvod jít ke konkurenci): - Je v mým zájmu, aby doména, přes kterou jedou registrace, management jiných domén atd., měla slabinu v zabezpečení? - Je v mým zájmu, abych od nějakýho patly dostal /16 prefix pro svoje servery na IPv6, když se do toho nevejde ani standardně vygenerovaný IPv6 suffix z MAC adresy? - Je v mým zájmu, abych musel nestandardně konfigurovat …