DNS je jedným zo základných kameňov fungovania Internetu. Bol vyvinutý už veľmi dávno, keď bol Internet omnoho bezpečnejšie miesto a v dnešnej dobe už preto nie je dostačujúci.
Za účelom zvýšenia bezpečnosti systému DNS bolo vyvinuté rozšírenie DNSSEC, ktoré zabraňuje niektorým typom útokov na bezpečnosť dát. Súčasný systém DNS totiž neoveruje, že získané dáta skutočne prišli zo správneho servera.

DNSSEC poskytuje používateľom istotu, že informácie získané cez DNS boli poskytnuté správnym zdrojom, sú úplne a ich integrita nebola počas spojenia narušená. DNSSEC tak zaistí dôveryhodnosť údajov získaných cez DNS. Aktuálne ponúkame DNSSEC pre .eu domény.

SK-NIC podporu pre DNSSEC pre .sk domény zatiaľ len plánuje, mnohé iné zahraničné aj nadnárodné domény to však už dávnejšie podporujú. Pripravujeme preto DNSSEC aj pre iné domény, najbližšia by mala byť .cz doména.

Technické podrobnosti

Všetky internetové služby (webové stránky, e-mail…) pre svoju funkčnosť potrebujú systém DNS. Jeho základnou funkciou je preklad pre človeka ľahko zapamätateľných doménových mien, napríklad exohosting.sk, na číselné adresy (IP adresy), ktorým rozumejú zariadenia v sieti Internet.

V praxi to funguje tak, že keď používateľ zadá doménové meno nejakej internetovej služby (webová stránka, e-mail…), počítač pomocou DNS preloží doménové meno na číselnú adresu, na ktorú sa následne obráti, aby sa spojil so službou, ktorú chce používateľ využiť. Do tohto procesu však môže vstúpiť útočník a zameniť číselnú adresu za inú. Používateľ sa tak dostane na úplne iné miesto.

DNSSEC používa asymetrickú kryptografiu – pre zašifrovanie obsahu sa používa iný kľúč ako na dešifrovanie. Držiteľ domény (alebo registrátor) vygeneruje dvojicu súkromného a verejného kľúča. Súkromným kľúčom sa následne podpíšu technické údaje domény, ktoré sú vkladané do DNS.

Pravosť tohto podpisu je možné overiť len pomocou verejného kľúča. Verejný kľúč drziteľ domény (registrátor) publikuje u nadradenej autority pre danú doménu, ktorou je pre .eu domény správca tejto domény, združenie EURid.

Aj na úrovni registru domén sú technické údaje v DNS podpísané a verejný kľúč k tomuto podpisu je poskytnutý nadradenej autorite. Ak nie je táto postupnosť v žiadnom svojom článku porušená a všetky elektronické podpisy súhlasia, vytvorí sa reťaz („chain of trust“), ktorá zaistí dôveryhodnosť údajov.

Pre overenie na konkrétnej doméne môžte použiť napríklad overovanie od Verisign.