Implementace DNSSEC v doméně CZ zvýšila úroveň zabezpečení

Jednou z klíčových vlastností DNSSEC je vytvoření takzvaného řetězce důvěry, přičemž na každé úrovni stvrzuje vlastník podpisem dané domény platnost kryptografického klíče domény o úroveň níže. Zmíněný klíč se ale nepodepisuje přímo, nýbrž dochází k podpisu takzvaného DS záznamu, tedy hashe klíče a příslušné domény.

Implementace DNSSEC v doménovém registračním systému FRED umožňuje sdílet kryptografické klíče mezi více doménami, a proto stačí držitelům CZ domén předat do registru pouze příslušný veřejný klíč. Potřebné DS záznamy se pak generují automaticky v průběhu generování zónového souboru z vazeb mezi klíči a doménami.

A právě v algoritmu hashovací funkce použité při generování DS záznamů u všech zabezpečených domén druhé úrovně v doméně CZ došlo minulý týden ke změně. Původní algoritmus SHA-1 byl nahrazen za novější a bezpečnější SHA-256. Implementace DNSSEC je tedy nyní ještě o něco bezpečnější.