DNSSEC a delegacja
Sama podpisana strefa nie wystarczy, jeśli w strefie nadrzędnej brakuje poprawnego DS. Dlatego po włączeniu DNSSEC trzeba sprawdzić zarówno serwery NS, jak i dane DS u rejestratora.
Narzędzie
DNSSEC: podpisywanie i walidacja DNS
Praktyczny opis DNSSEC: DNSKEY, DS, RRSIG, chain of trust, rotacja kluczy i typowe błędy delegacji DNS.
DNSSEC podpisuje dane DNS, aby resolver walidujący mógł sprawdzić, czy odpowiedź pochodzi z właściwej strefy i nie została zmieniona po drodze. Nie szyfruje zapytań DNS, ale pomaga ograniczać ryzyko fałszywych odpowiedzi, cache poisoning i błędnej delegacji widzianej przez użytkowników.
Tester delegacji DNS
Sprawdź NS, SOA i podstawy strefy domeny.
Audyt DNS domeny
Połącz DNSSEC z SSL, mixed content i SecDNS.
Rekord TXT
Zobacz rekordy DNS używane przez pocztę i weryfikacje.
Co to jest MX?
Zobacz rekordy pocztowe zależne od DNS.
Serwery poczty
Połącz DNSSEC z audytem poczty firmowej.
SecDNS.pl
Ochronny DNS DataHouse DNS Protect+.
Co to jest DNSSEC?
DNSSEC, czyli Domain Name System Security Extensions, dodaje do DNS warstwę podpisów kryptograficznych. Strefa publikuje klucze DNSKEY, rekordy są podpisane rekordami RRSIG, a delegacja do domeny może być połączona z rekordem DS w strefie nadrzędnej. Dzięki temu resolver walidujący może zbudować chain of trust od strefy nadrzędnej do konkretnej odpowiedzi.
Przykład elementów DNSSEC
twojadomena.pl DNSKEY 257 3 13 KSK...
twojadomena.pl DNSKEY 256 3 13 ZSK...
twojadomena.pl RRSIG DNSKEY 13 ...
twojadomena.pl DS 12345 13 2 ABCDEF...Najważniejsze rekordy i pojęcia DNSSEC
| Element | Znaczenie |
|---|---|
| DNSKEY | Klucz publiczny strefy. Najczęściej rozdziela się KSK dla zaufania i ZSK dla podpisywania rekordów. |
| DS | Delegation Signer publikowany w strefie nadrzędnej, zwykle przez panel rejestratora domeny. |
| RRSIG | Podpis kryptograficzny zestawu rekordów DNS, z datą początku i końca ważności podpisu. |
| NSEC / NSEC3 | Mechanizm podpisanego potwierdzania, że dana nazwa lub rekord nie istnieje. |
| Chain of trust | Łańcuch zaufania od root/parent zone, przez DS, do DNSKEY i podpisanych rekordów strefy. |
| KSK / ZSK | Key Signing Key zwykle podpisuje zestaw DNSKEY, a Zone Signing Key podpisuje pozostałe rekordy strefy. |
DNSSEC a poczta
MX, TXT, SPF, DKIM, DMARC, MTA-STS i TLS-RPT nadal działają tak samo, ale walidujący resolver może dodatkowo sprawdzić, czy odpowiedzi DNS dla tych rekordów są podpisane prawidłowo.
DNSSEC a szyfrowanie
DNSSEC nie szyfruje zapytań DNS i nie ukrywa domen, o które pyta klient. Od poufności transportu są inne warstwy, na przykład DoT, DoH albo tunelowanie ruchu DNS.
DNSSEC i SecDNS.pl
DNSSEC waliduje integralność podpisanych danych DNS, a SecDNS.pl filtruje i monitoruje zapytania do złośliwych domen. To dwa różne mechanizmy, które mogą się uzupełniać.
Najczęstsze błędy DNSSEC
- Strefa jest podpisana, ale rekord DS nie został dodany u rejestratora domeny.
- Po rotacji KSK w strefie nadrzędnej został stary DS, przez co walidacja zaczyna się psuć.
- Podpisy RRSIG wygasły, bo signer lub proces automatycznego odświeżania podpisów przestał działać.
- Serwery secondary DNS nie obsługują poprawnie podpisanej strefy albo dostają niepełne dane.
- DNSSEC włączono bez monitoringu, więc błąd wykrywa dopiero użytkownik korzystający z walidującego resolvera.
- Administrator zakłada, że DNSSEC szyfruje DNS albo zastępuje ochronę resolvera i filtrację domen.
Praktyczna kolejność wdrożenia DNSSEC
- Sprawdź operatora DNS. Upewnij się, że primary i secondary DNS obsługują podpisywanie strefy oraz bezpieczną rotację kluczy.
- Podpisz strefę i zweryfikuj DNSKEY. Sprawdź, czy strefa publikuje poprawne DNSKEY i RRSIG dla podstawowych rekordów.
- Dodaj DS u rejestratora. W panelu domeny opublikuj DS zgodny z aktywnym KSK, a potem sprawdź chain of trust.
- Monitoruj ważność podpisów. Kontroluj daty RRSIG, dostępność NS i poprawność walidacji po każdej zmianie delegacji.
FAQ: DNSSEC
Czy DNSSEC szyfruje DNS?
Nie. DNSSEC podpisuje dane DNS i pozwala walidować odpowiedzi, ale nie szyfruje zapytań ani nie ukrywa nazw domen.
Czy DNSSEC zastępuje SecDNS.pl?
Nie. DNSSEC potwierdza integralność podpisanych danych DNS, a SecDNS.pl filtruje i monitoruje zapytania do złośliwych domen.
Gdzie dodaje się rekord DS?
DS dodaje się w strefie nadrzędnej, najczęściej w panelu rejestratora domeny po podpisaniu strefy i wygenerowaniu danych KSK.
Co najczęściej psuje DNSSEC?
Najczęstsze problemy to stary DS po rotacji kluczy, wygasłe RRSIG, brak zgodności signer/secondary DNS i włączenie DNSSEC bez monitoringu.