Implementace DNSSEC v doméně CZ zvýšila úroveň zabezpečení

Technologie DNSSEC, vytvořená k zabezpečení protokolu DNS, byla do správy české domény zavedena v roce 2008. V té době byla Česká republika teprve pátou zemí na světě, v níž se k tomuto kroku správci odhodlali. V dnešní době je DNSSEC téměř standardem, a jak ukazuje statistika organizace ICANN, mezi doménami nejvyšší úrovně je poměr zabezpečených již na 84 %.

Jednou z klíčových vlastností DNSSEC je vytvoření takzvaného řetězce důvěry, přičemž na každé úrovni stvrzuje vlastník podpisem dané domény platnost kryptografického klíče domény o úroveň níže. Zmíněný klíč se ale nepodepisuje přímo, nýbrž dochází k podpisu takzvaného DS záznamu, tedy hashe klíče a příslušné domény.

Implementace DNSSEC v doménovém registračním systému FRED umožňuje sdílet kryptografické klíče mezi více doménami, a proto stačí držitelům CZ domén předat do registru pouze příslušný veřejný klíč. Potřebné DS záznamy se pak generují automaticky v průběhu generování zónového souboru z vazeb mezi klíči a doménami.

A právě v algoritmu hashovací funkce použité při generování DS záznamů u všech zabezpečených domén druhé úrovně v doméně CZ došlo minulý týden ke změně. Původní algoritmus SHA-1 byl nahrazen za novější a bezpečnější SHA-256. Implementace DNSSEC je tedy nyní ještě o něco bezpečnější.

Autor:

Zanechte komentář