DNSSEC: Proč by měla být každá .cz a .sk doména podepsaná
Mám pro vás otázku. Víte, že i když máte na webu platný SSL certifikát se zámečkem v prohlížeči, útočník vás může přesměrovat na podvodnou stránku, aniž byste o tom věděli? Přesně to se v roce 2018 stalo uživatelům populární kryptoměnové peněženky MyEtherWallet. A přišli přitom o více než 150 000 dolarů.
Odpovědí na tento typ útoku je DNSSEC, digitální podpis domény. Je to technologie, o které se v souvislosti s bezpečností webu mluví čím dál víc, a přitom ji spousta majitelů webů stále nemá zapnutou. V tomto článku vám vysvětlím, co to vlastně DNSSEC je, proč ho potřebujete i vedle SSL, a jak ho zapnout. Ideálně ještě dnes.
Co je DNS a proč samo o sobě nestačí
Než se pustíme do DNSSEC, rychlé připomenutí, jak DNS funguje. Představte si DNS jako obrovský telefonní seznam internetu: zadáte doménu (třeba webhostingcentrum.cz) a DNS vám vrátí IP adresu serveru, na který se má váš prohlížeč připojit.
Problém je, že klasický DNS byl navržen v době, kdy se o bezpečnosti příliš neuvažovalo. Odpovědi se přenášejí bez jakéhokoliv ověření. Nikdo nezaručuje, že informace, které dostanete, jsou pravé. Útočník, který se dostane „do cesty“ mezi vás a DNS server, může podstrčit falešný záznam a přesměrovat vás na úplně jiný server. Vy přitom nevidíte vůbec nic podezřelého.
Tento typ útoku se nazývá DNS cache poisoning a je reálnou hrozbou nejen v teorii. Populárním příkladem je Kaminského útok z roku 2008, kdy bezpečnostní výzkumník Dan Kaminsky odhalil způsob, jak efektivně otrávit cache DNS resolveru pro celou doménu najednou. Klasická obrana (náhodný zdrojový port) problém zmírňuje, ale neřeší ho na úrovni protokolu.
DNSSEC není SSL certifikát (a potřebujete obojí)
Tady se dostáváme k věci, která hodně lidí mate. SSL certifikát a DNSSEC jsou dvě různé věci, které chrání různé části komunikace.
| DNSSEC | SSL/TLS certifikát | |
| Co chrání | DNS vyhledávání (doména → IP adresa) | Přenos dat mezi prohlížečem a serverem |
| Šifrování | Ne – pouze podepisuje a ověřuje | Ano – šifruje veškerá data |
| Chrání před | DNS spoofingem, cache poisoningem | Odposloucháváním, manipulací s daty |
Zjednodušeně: DNSSEC = ověřuje, že mluvíte se správnou osobou. SSL = zajišťuje, že vás nikdo neposlouchá.
Proč potřebujete obojí? Představte si, že zavoláte svému lékaři – SSL zaručí, že nikdo neposlouchá hovor. Ale bez DNSSEC útočník může podstrčit falešné číslo, takže zavoláte úplně jinam, a přitom se všem zdá, že jste zavolali lékaři.
Přesně to se stalo s MyEtherWallet v dubnu 2018. Útočníci provedli BGP hijacking (unesli internetové trasy) a přesměrovali DNS dotazy pro tuto peněženku na své servery. Uživatelé dostávali bezpečnostní varování v prohlížeči kvůli neplatnému SSL certifikátu, ale část z nich ho ignorovala a přišla o kryptoměny. Kdyby byl nasazen DNSSEC, validující resolvery by falešné DNS odpovědi automaticky odmítly. Jediné varovné světlo, které selhalo, byl právě chybějící podpis domény.
Jak DNSSEC funguje: digitální podpis pro vaši doménu
DNSSEC přidává ke každé DNS odpovědi kryptografický podpis. Celý systém stojí na tzv. řetězci důvěry – podobně jako u SSL certifikátů existuje hierarchie certifikačních autorit.
Funguje to takto:
- Kořenová zóna (root) – její klíč je pevně zabudovaný do všech validujících resolverů (Google 8.8.8.8, Cloudflare 1.1.1.1 atd.). Podepisuje záznamy pro TLD.
- TLD úroveň – správce .cz je CZ.NIC, správce .sk je SK-NIC. Každý z nich podepisuje záznamy pro domény druhé úrovně.
- Vaše doména – webhostingcentrum.cz podepisuje vlastní DNS záznamy.
Pokud je podpis v pořádku na všech úrovních, resolver odpověď přijme. Pokud kdokoliv v řetězci podpis pozměnil nebo chybí, resolver vrátí chybu (SERVFAIL). Útočník prostě nemůže podstrčit falešná data, protože nemá soukromý klíč vaší domény ani žádného nadřazeného správce.
Technicky vzato se jedná o záznamy DNSKEY (veřejné klíče), RRSIG (digitální podpisy) a DS (hash klíče uložený v nadřazené zóně). Pokud tato slova pro vás nic neznamenají, nevadí, registrátor to za vás vyřeší automaticky.
Česko a Slovensko patří mezi světovou elitu
Tady je dobrá zpráva: pokud máte .cz nebo .sk doménu, jste v tom nejlepším prostředí pro DNSSEC, jaké na světě existuje.
CZ.NIC správce domény .cz byl jedním z průkopníků DNSSEC na světě. Česko bylo 5. zemí vůbec, která tuto technologii nasadila (2008), a CZ.NIC vyvinul open-source software Knot DNS, který dnes používají správci domén po celém světě.
Výsledky jsou vidět ve statistikách. Podle Domain reportu 2025 od CZ.NIC je aktuálně podepsaných 66,79 % všech .cz domén. To je přes milion domén. Globální průměr přitom? Pouhých 7 % domén druhé úrovně celosvětově. Domény jako google.com nebo amazon.com donedávna DNSSEC vůbec neměly a přitom jste ho mohli mít vy.
Na Slovensku to vypadá podobně. SK-NIC spustil DNSSEC pro .sk v dubnu 2019 a adopce šla raketovým tempem, do roka a půl se .sk dostalo na 5. místo celosvětově. Dnes má DNSSEC přes 57 % slovenských domén.
Jak zapnout DNSSEC u vašeho registrátora
Dobrá zpráva číslo dvě: DNSSEC je všude zadarmo. U řady registrátorů se navíc aktivuje automaticky. Podívejte se, jak to funguje u těch nejpoužívanějších:
| Registrátor | Automaticky? | Jak zapnout |
| Active24 | ✅ Ano | Automaticky při registraci, transferu nebo změně NS. Zákaznické centrum → Domény → DNSSEC panel. |
| FORPSI | ✅ Ano | Automaticky, pokud je NSSET nastavený na FORPSI servery. V kartě domény najdete stav DNSSEC. |
| VEDOS | ❌ Ručně | Administrace → Doména → DNSSEC → „Použít DNSSEC WEDOS“. Jedno kliknutí. |
| Subreg | ❌ Ručně | DNS zóna → výběr KEYSET. |
| Czechia.com | ❌ Ručně | Admin → Doména → toggle „Zabezpečit DNS“. |
| Slovak Telekom (.sk) | Přes CDS | SK-NIC automaticky zpracuje CDS záznamy. |
Pozor na jedno: pokud máte doménu u jednoho registrátora, ale DNS záznamy spravujete u jiného poskytovatele (například Cloudflare, nebo vlastní server), musíte zajistit, aby DS záznam byl správně přenesen do registru. Zde může dojít k chybné konfiguraci — proto doporučuji použít automatické nástroje registrátora, pokud je k dispozici.
Jak ověřit, zda je DNSSEC správně nakonfigurován
Po aktivaci si vždy ověřte, že vše funguje. Tyhle nástroje vám dají jasnou odpověď:
- dnssec-debugger.verisignlabs.com – kompletní validace řetězce důvěry
- dnsviz.net – vizuální analýza s grafickým zobrazením celé hierarchie
- dnssec.cz – český nástroj od CZ.NIC
Pro technicky zdatné: dig +dnssec example.cz – v odpovědi hledáte záznamy RRSIG a příznak ad (authenticated data).
Praktické dopady pro běžného majitele webu
Možná si říkáte: „Já mám jen malý firemní web, kdo by na mě útočil?“ To je pochopitelná úvaha, ale DNS cache poisoning nefunguje tak, že by útočník cílil přímo na vás. Stačí, že otrávíte cache DNS resolveru, který obsluhuje tisíce uživatelů – a najednou jsou všichni přesměrováni, i bez toho, abyste o tom věděli.
Pár praktických věcí ke DNSSEC:
Za prvé, nezpomaluje web. Přidává pár kilobajtů k DNS odpovědím, ale to je v kontextu načítání stránky absolutně neměřitelné. Moderní resolvery validované odpovědi efektivně cachují.
Za druhé, špatná konfigurace může způsobit nedostupnost webu. Pokud máte v DS záznamu špatný hash nebo vám vyprší podpis a neobnovíte ho, validující resolvery odmítnou celou doménu. Proto je nejjednodušší nechat správu na registrátorovi, který rotaci klíčů automatizuje – a po aktivaci ověřit funkčnost výše zmíněnými nástroji.
Za třetí, DNSSEC otevírá dveře k DANE. Jde o protokol, který váže TLS certifikáty přímo na DNS záznamy chráněné DNSSEC. Využití najde zejména pro e-mailovou bezpečnost, Microsoft 365 (Exchange Online) DANE pro odchozí i příchozí e-maily již podporuje. Pokud řešíte bezpečnost firemního e-mailu, DNSSEC je první krok tímto směrem.
Závěr
Za mě je DNSSEC jedna z mála věcí v oblasti bezpečnosti webu, kde poměr cena/výkon prostě nemůže být lepší: je to zadarmo, u většiny registrátorů to zvládnete za minutu, a ochrana je reálná.
Česko a Slovensko v DNSSEC adopci patří ke světové špičce. Je škoda být v té třetině domén, která toto zabezpečení stále nemá. Zvlášť když si uvědomíte, že útočníci neútočí jen na velké firmy a kryptoměnové peněženky. Každý web, každá doména je potenciální cíl DNS manipulace.
Udělejte si dnes jednu věc: zkontrolujte svou doménu na dnssec-debugger.verisignlabs.com. Pokud vidíte červenou nebo žádné DNSSEC záznamy – přihlaste se k registrátorovi a zapněte to. Váš web si to zaslouží.
