Bezpečně. Bezpečněji. Nejbezpečněji. Je vaše doména opravdu zabezpečená?

Jak čtenáři tohoto blogu dobře vědí, tak správnost údajů v registru doménových jmen je pro nás na prvním místě. Správnost údajů a bezpečnost doménových jmen, ve kterých jsou tyto údaje uvedeny, mají k sobě tak blízko, jako Romeo s Julií a ty jak známo není dobré oddělovat.

Ovšem ani sebesprávnější údaje nemohou zabránit vynalézavosti těch, kteří se snaží obohatit prostřednictvím Internetu. Mimo schopnosti běžného držitele domény je rovněž obrana proti tzv. selhání lidského faktoru, tedy prostě řečeno, že někdo udělá botu, ať už je to jeho zaměstnanec či smluvní partner, který pro něj registraci domény a její správu zajišťuje. To stoprocentně nevyloučí sebelepší smlouva. Protože takové věci se prostě stávají, umělá inteligence zatím s doménovými jmény nepracuje, nebo aspoň ne na 100 % ;-).

Již jsme se setkali s případy, byť naštěstí ojedinělými, kdy došlo k převodu doménového jména na základě požadavku potvrzeného původním držitelem z e-mailu, který byl „hacknut“, případně z e-mailu, který vedl do domény, kterou kdysi takový držitel měl a už ji nemá (zato ji má subjekt, který na sebe díky tomu převedl domény, ve kterých je takový e-mail stále uveden – tím se opět vracíme k tomu, že je opravdu velmi potřeba, aby si držitel domény pravidelně kontroloval správnost údajů, které má v doméně zadány!).

Takže, chcete-li zvýšit bezpečnost svých doménových jmen a kontaktů (ale blokovat můžete i sadu NS nebo sadu klíčů), zkuste využít službu blokace objektů, která je nabízena přímo sdružením CZ.NIC, nikoliv registrátorem. Blokovat můžete proti změně registrátora (protože jiný registrátor může nabízet autorizaci změn z vašeho pohledu méně bezpečným způsobem, než právě ten váš) nebo můžete blokovat proti jakékoliv změně. Žádost o blokaci musí být potvrzena oprávněnou osobou, přičemž její podpis musí být buď úředně ověřen nebo musí být podepsána elektronickým podpisem. Proto zejména v případě blokace proti jakékoliv změně mějte na paměti, že odblokování se potvrzuje úplně stejně – proces budete muset podstoupit při jakékoliv změně, třeba nameserverů, kde je doména umístěna. Dokud bude totiž objekt v registru blokován proti všem změnám tímto způsobem, nepodaří se nikomu (a ani vám) u registrátora provést žádnou změnu. Pokud takové změny však neprovádíte často, nemusí vás to moc trápit.

Jestliže vás tato možnost zaujala, mrkněte se na http://www.nic.cz/whois/publicrequest/. Ti, kdo užívají službu mojeID a jsou ověřeni validací, mohou blokaci provést také prostřednictvím Doménového prohlížeče. Pokud vám nebude cokoliv jasné, ptejte se – jsme připraveni vám pomoci. Dodávám ještě, že služba je nabízena zdarma.

Autor:

Komentáře (6)

  1. Jakub Bouček říká:

    Trochu nedotažené u této myšlenky mi přijde, že doménu může od/blokovat nejen její držitel, ale i kterýkoliv z administrativních kontaktů. IMHO by to mělo být výsadním právem držitele.

  2. Michal Stulík říká:

    Nesouhlasím, od toho administrativní kontakt je, aby se o doménu staral. Majitel často vůbec nemá tušení jak nějaké registrace domén fungují. Proto jsou administrativní kontakty, aby se o doménu staraly a aby případně majitele upozornily, že má doménu registrovanou na email, který už není aktivní atd.

    • Jakub Bouček říká:

      V zásadě s Vámi souhlasím. Ale realita je taková, že administrativní kontakty nejsou užívány v souladu s touto myšlenkou a v drtivé většině slouží hostingům jen jako pasivní promo. Nemluvě o Wedosu, který zarputile MojeID sabotuje.

      Já, jako držitel domény bych opravdu stál o to, aby bylo možné doménu zamknout způsobem, kdy nikdo jiný – tedy ani administrativní kontakt – bez mého svolení a vědomí nemohl s doménou manipulovat. V okamžiku, kdy s ní může volně manipulovat, tak to pak popírá celou myšlenku, na který stojí původní článek – tedy ochranu před selháním partnerů a poskytovatelů, které jsou v adm. kontaktech zpravidla uváděni.

      Nemluvě o tom, že změna stavu zámku u domény negeneruje běžný notifikační e-mail „Oznámení změn domény…“ a držitel nemá žádné varovné signály, kterými by mohl potenciální problémy v předstihu odhalit.

      Možná jsem paranoidní, ale u tohoto šikovného security-toolu to považuju za natolik zásadní slabinu v řetězci zabezpečení, že to vytváří jen falešný pocit bezpečí.

  3. Michal Stulík říká:

    Pokud Vám jde o to, aby nikdo jiný kromě držitele nemohl s doménou manipulovat, tak si nastavte administrativní kontakt stejný jako držitele.

    Nerozumím té narážce na Wedos. Kontakt pro držitele domény si u mojeid můžete vytvořit a je úplně jedno u jakého registrátora je momentálně doména vedená.

  4. Holub říká:

    Milá Zuzanko, gratuluji ti k objevení Ameriky. V tomhle oboru budeš asi TOP. Obejdi všechny vlastníky domén a jako s malými dětmi s němi překontroluj správnost údajů.
    Budeš taková Matka Tereza!

    • ďobo říká:

      Není nutno, aby „milá Zuzanka“ obíhala vlastníky domén, to udělají přeci registrátoři, třeba nějakou automatizovanou formou. Stačí je motivovat – třeba tím, že ten, kdo do toho nakráčí, si může vyvěsit na web PR oznámení o zkvalitňování služeb ve spolupráci s nic.cz, nebo třeba dostane nějaký certifikát… možností je spousta.

Zanechte komentář