Jak ověřit, zda je doména chráněna DNSSEC
Proč DNSSEC ověřovat
Aktivace DNSSEC je první krok. Druhý — a stejně důležitý — je ověřit, že celý řetěz důvěry skutečně funguje. DNSSEC se může rozbít bez povšimnutí: expiruje podpis, registrátor odstraní DS záznam při přenosu domény, nebo se klíče dostanou do nekonzistentního stavu po aktualizaci DNS.
Nefunkční DNSSEC je horší než žádný DNSSEC. Validující resolvery (Google 8.8.8.8, Cloudflare 1.1.1.1 a další) odmítnou odpovědět na dotaz s neplatným podpisem — vaše doména se stane nedostupnou pro všechny uživatele těchto resolverů. E-maily se přestanou doručovat, web přestane fungovat.
Pravidelné ověření DNSSEC vám pomůže zachytit problém dřív, než ho pocítí vaši zákazníci.
Rychlá kontrola online nástrojem
Nejrychlejší způsob, jak ověřit DNSSEC vaší domény, je analyzér domény — výsledek zahrnuje stav DNSSEC spolu s kontrolou SPF, DKIM a DMARC.
Analyzér ověří:
- Existenci DS záznamu v nadřazené zóně (registrátorovi)
- Existenci DNSKEY záznamu na autoritativním serveru domény
- Platnost podpisů (RRSIG) na klíčových záznamech
- Konzistenci řetězu důvěry od kořenové zóny po vaši doménu
Pokud chcete hlouběji prozkoumat konkrétní DNS záznamy, použijte náš DNS lookup.
Ověření v terminálu pomocí dig
Pro detailnější diagnostiku použijte příkaz dig. Následující kroky vám ukáží, jak ručně projít celý řetěz důvěry.
Kontrola DS záznamu
DS (Delegation Signer) záznam propojuje vaši doménu s nadřazenou zónou. Bez něj řetěz důvěry nefunguje, i když máte zónu podepsanou.
dig firma.cz DS +short
Očekávaný výstup (příklad):
2371 13 2 a5f2c8e7b3d9f1a0...
Čísla znamenají: ID klíče, algoritmus, typ hashe a samotný hash. Pokud příkaz nevrátí nic, DS záznam u registrátora chybí — DNSSEC není aktivní na úrovni nadřazené zóny.
Kontrola DNSKEY záznamu
DNSKEY je veřejný klíč vaší zóny, kterým resolvery ověřují podpisy.
dig firma.cz DNSKEY +short
Očekávaný výstup obsahuje jeden nebo více klíčů. Číslo na začátku (256 nebo 257) rozlišuje typ klíče:
- 257 = KSK (Key Signing Key) — podepisuje klíče samotné, jeho hash je v DS záznamu
- 256 = ZSK (Zone Signing Key) — podepisuje ostatní záznamy v zóně
Pokud odpověď je prázdná, zóna není podepsaná.
Ověření podpisů (RRSIG)
Příznák +dnssec v příkazu dig vrátí i podpisy RRSIG:
dig firma.cz A +dnssec
Ve výstupu hledejte:
- Příznak
ad(Authentic Data) v záhlaví odpovědi — resolver potvrdil platnost podpisů - Sekci RRSIG pod odpovědí — obsahuje podpis, algoritmus, dobu platnosti a ID klíče
Pokud se ve flags objeví ad, váš resolver DNSSEC validoval a odpověď je autentická.
Kompletní validace nástrojem delv
Nástroj delv je DNS validační utilita, která provede plnou kryptografickou validaci řetězu důvěry:
delv firma.cz A
Na rozdíl od dig nástroj delv nepracuje jen s příznaky — skutečně ověří podpisy oproti klíčům. Výstup jasně říká fully validated (plně ověřeno) nebo unsigned answer (nepodepsáno).
Interpretace výsledků
| Výsledek | Význam | Co dělat |
|---|---|---|
DS i DNSKEY existují, delv hlásí fully validated |
DNSSEC funguje správně | Nic — pravidelně monitorujte |
| DS existuje, ale DNSKEY chybí | Nadřazená zóna odkazuje na neexistující klíč | Podepište zónu nebo odstraňte DS záznam u registrátora |
| DNSKEY existuje, ale DS chybí | Zóna je podepsaná, ale řetěz důvěry je přerušený | Přidejte DS záznam u registrátora |
delv hlásí chybu validace |
Podpisy nesedí, klíče jsou nekonzistentní | Zkontrolujte algoritmy a expiraci podpisů |
| Nic z toho neexistuje | DNSSEC není aktivní | Aktivujte u správce DNS a registrátora |
Kdy se DNSSEC nejčastěji rozbije
DNSSEC obvykle nefunguje ve třech situacích:
Přenos domény k jinému registrátorovi
Při přenosu domény mezi registrátory může dojít ke ztrátě DS záznamu. Chování závisí na registru — některé (např. CZ.NIC pro .cz) DS záznamy při přenosu zachovávají, jiné ne. Pokud nový registrátor DS nepřevezme, DNSSEC přestane fungovat.
Řešení: Po dokončení přenosu ověřte DS záznam a v případě potřeby ho přidejte ručně.
Změna DNS serverů
Když změníte autoritativní DNS servery (např. při migraci na Cloudflare), nové servery musí zónu znovu podepsat a vygenerovat nový DS záznam. Starý DS odkazuje na klíč, který na nových serverech neexistuje.
Řešení: Před migrací deaktivujte DNSSEC u starého poskytovatele, proveďte migraci, pak DNSSEC znovu aktivujte na novém poskytovateli.
Expirace podpisů (RRSIG)
Podpisy RRSIG mají omezenou platnost (typicky 1–5 týdnů, BIND ve výchozím nastavení 30 dní). DNS software je musí pravidelně přepodepisovat. Pokud se automatické přepodepisování zastaví (selhání skriptu, plný disk, restart serveru), podpisy vyexpirují a doména se stane nedostupnou.
Řešení: Monitorujte expiraci podpisů. Pokud spravujete vlastní DNS server, zkontrolujte logy a automatizaci přepodepisování.
Dopad nefunkčního DNSSEC na e-mail
Nefunkční DNSSEC neznamená jen nefunkční web. Validující resolvery odmítnou i MX záznamy, SPF a DKIM záznamy vaší domény. Důsledky:
- E-maily se nedoručí — odesílající servery nenajdou MX záznamy vaší domény
- Autentizace selže — příjemce nedostane SPF/DKIM záznamy a vyhodnotí to jako selhání
- DMARC reporty se ztratí — reportovací servery nedokáží přeložit cílovou adresu
Jedná se o kompletní výpadek e-mailové komunikace, ne jen o sníženou doručitelnost.
Automatický monitoring
Ruční kontrola dig příkazem je užitečná pro diagnostiku, ale nestačí pro průběžný dohled. DNSSEC se může rozbít kdykoli — po aktualizaci DNS, po přenosu domény nebo prostě proto, že vyexpiruje podpis.
SPF Monitor kontroluje stav DNSSEC vaší domény automaticky a upozorní vás, jakmile se v řetězu důvěry objeví problém — dřív, než ho pocítí vaši uživatelé.
