Hlavní navigace

Víc než půlka českých domén je zabezpečena DNSSEC. Stačilo osm let

Sdílet

Jan Beránek 6. 12. 2016

Pátý prosinec. Zlomový okamžik pro bezpečnost českého internetu. Od včerejška CZ.NIC eviduje víc domén zabezpečených DNSSEC než těch, co toto rozšíření protokolu DNS postrádají. 

„Už více než 51 % (653 297) .cz domén můžeme ověřovat důvěryhodnost údajů poskytovaných systémem DNS a spoléhat na to, že tyto údaje nebyly cestou k uživateli podvrženy,“ tvrdí blog sdružení CZ.NIC s tím, že více bezpečných domén v absolutním počtu je dnes pouze v Holandsku (.nl), Brazílii (.br) a Švédsku (.se). 


Zdroj: CZ.NIC

Počet domén s a bez DNSSEC

Podpora technologie DNSSEC pro .cz domény kontinuálně rostla od jejího zavedení do registru v roce 2008. Po devíti letech překročila padesátiprocentní hranici.

„O dosažení tohoto milníku se zasloužili všichni registrátoři, kteří podporu DNSSEC od roku 2008 postupně zaváděli. K 5. 12. 2016 mělo alespoň jednu zabezpečenou .cz doménu pomocí DNSSEC 38 registrátorů, 15 z nich pak mělo takových domén více než 1 000,“ dodává Zdeněk Brůna na blogu sdružení

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 8. 12. 2016 8:53

    Filip Jirsák

    Podle vašeho komentáře jste to vy, kdo neví, co je to DNSSEC. DNSSEC slouží k tomu, aby si klient mohl ověřit, že DNS záznam, který získal, je pravý. Nijak tou nesouvisí s šifrováním – šifrování se používá, když chcete něco utajit (v DNS by se šifrování mohlo použít, pokud by chtěl klient před odposlechem utajit, na jaké domény se ptá). DNSSEC a podepsaná doména dává klientovi možnost si záznamy ověřit. Jestli a jak jí využije, to záleží na něm, případně na těch, kteří mu zprostředkovávají překlad DNS.

  • 8. 12. 2016 12:49

    Klik je cvik (neregistrovaný) 84.19.86.---

    Musím s Vámi samozřejmě souhlasit,protože v kontextu trdím o tom samém co vy :)

  • 7. 12. 2016 10:03

    Klik je cvik (neregistrovaný) 84.19.86.---

    Zvýšení o cca víc jak 10% je slušné - autoritativní zvýšení :)

    Co dodat ?

    DNSSEC neprovádí šifrování přenášených dat - data se přenáší přece stále stejným nezabezpečeným způsobem DNS,proto DNSSEC je jen jakýmsi rozšířením,které navíc přidává pomocí asymetrické kryptografie vytvářený elektronický podpis DNS záznamu.

    Elektronické podpisy a související data jsou ukládána opět ve formě DNS záznamů.

    DNSSEC má pro tento učel dle potřeby několik druhů záznamů. Některé obsahují elektronický podpis stávajících záznamů, jiné nesou informace pro ověření neexistence záznamů, které v zóně domény nejsou.

    Z uvedeného vyplývá nutnost znalosti DNSSEC a následnou součinnost nejen ze strany DNS serveru ale také klientů samotných.

  • 7. 12. 2016 10:18

    fd (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    Aby DNSSEC melo alespon hypoteticky smysl, musely by zaznamy validovat alespon vetsinove OS. Tzn win/android/linux. Coz taktez predpoklada, ze kazdy jeden by musel provadet rekurzi, nebot bez toho se validovat neda.

    Jeste akceptovatelny muze byt validujici resolver ve vlastni siti pod kontrolou uzivatele/firmy.