Co je DS záznam
DS záznam (Delegation Signer) je speciální DNS záznam používaný v rámci zabezpečení DNS pomocí technologie DNSSEC. Slouží k propojení nadřazené domény (např. .cz) s podepsanou doménou nižší úrovně (např. example.cz) a je klíčový pro vytvoření tzv. řetězce důvěry.
K čemu DS záznam slouží
Pokud je doména zabezpečena pomocí DNSSEC, její DNS záznamy jsou digitálně podepsané. Aby bylo možné ověřit jejich pravost, musí existovat vazba mezi:
- nadřazenou doménou (např.
.cz) - konkrétní doménou (např.
example.cz)
Tuto vazbu zajišťuje právě DS záznam, který je uložen u registru domény (např. správce TLD). Obsahuje kryptografický otisk veřejného klíče domény.
Jak DS záznam funguje
Princip fungování je následující:
- Doména má vlastní DNSSEC klíč (tzv. veřejný klíč).
- Z tohoto klíče se vytvoří kryptografický otisk (hash).
- Tento otisk je uložen jako DS záznam v nadřazené doméně.
Při ověřování DNS odpovědi se kontroluje, zda podpis odpovídá uloženému DS záznamu. Pokud nesouhlasí nebo chybí, řetězec důvěry je přerušen a DNSSEC ověření selže.
Co DS záznam obsahuje
DS záznam se skládá z těchto částí:
- Key Tag – identifikátor klíče
- Algoritmus – použitý kryptografický algoritmus
- Hash typ – typ hashovací funkce
- Hash (otisk) – kryptografický otisk veřejného klíč
Příklad DS záznamu s jednotlivými rozepsanými prvky naleznete v rubrice v Nastavení DNSSEC.
Shrnutí
DS záznam je klíčový prvek DNSSEC, který propojuje doménu s její nadřazenou zónou a umožňuje ověřit, že DNS data nebyla po cestě změněna nebo podvržena. Bez správného DS záznamu DNSSEC ochrana nefunguje správně.
Nastavení DS záznamu
DS záznam není možné přidat přímo přes Centrum Administrace. U domén v naší DNS které DNSSEC podporují stačí DNSSEC zapnout a požadovaný DS záznam se automaticky přidá. Pokud chcete přidat DS záznam k doméně, která naše nameservery nevyužívá, pošlete nám Autorizovaný požadavek.
U CZ domén k aktivaci DNSSEC DS záznam nestačí, je nutné vytvořit nový klíč a ten pak k doméně přiřadit. Více informaci naleznete v Nastavení DNSSEC.