Nástroj pro kontrolu DNSSEC

Co je to DNSSEC? Zjednodušeně řečeno ochrana proti podvržení DNS (jména serveru). Další informace viz www.dnssec.cz. Tento nástroj dokáže zkontrolovat, zda nemožnost přístupu na některé webové stránky je způsobena nesprávnou funkcí DNSSEC a tedy to není problém KHnet.info.

Pro test lze využít správně nastavené a podepsané www.nic.cz nebo www.nfx.cz, pro zkoušku podvržené a tedy špatné www.rhybar.cz. A jako normální, nepodepsanou doménu lze zkusit naši www.khnet.info (neboť správce .info DNSSEC zatím nepodporuje, tedy nemá smysl ji podepisovat).

Výsledek testu www.nic.cz

kix.khnet.info (10.106.33.2)

test-ipv6.nic.cz (217.31.204.130)

dns.google (8.8.4.4)

Doménové jméno, které je elektronicky podepsané a správně funkční, musí vracet na všech serverech výsledek NOERROR a příznak AD (authenticated data). Není-li uvedeno AD, je to normální doména bez podpisu, nebo daný server tuto technologii nepodporuje. Servery KHnet.info ji podporují všechny. V tomto testu jsou servery zkoušeny vždy dvakrát - jednou normálně a podruhé s vypnutou kontrolou DNSSEC. Pokud je to poprvé špatně a podruhé dobře, jedná se o problém vlastníka dané domény.

Podobnou funkci jako tato stránka dokáže zastat plugin (zásuvný modul) do webového prohlížeče Firefox: dnssec-validator. Je česky, není třeba mít strach.

Je také nutno myslet na to, že v DNS serveru nemusí existovat správná odpověď ihned po odstranění případného problému. Každé doménové jméno má u sebe definovanou časovou hodnotu, tzv TTL (Time-To-Live), po kterou si mohou odpověď cizí servery udržovat ve své paměti a neotravovat autoritativní server (vlastníka). A tato doba je velice variabilní, doporučená hodnota je dokonce 14 dnů! Pokud někdo udělá chybu v podpisu domény, může se mu to šeredně vymstít.