Dlaczego wiekszosc domen wciaz nie uzywa DNSSEC?

**Trzy powody.** Po pierwsze, **rejestratorzy** to utrudniaja: w wielu panelach trzeba recznie skopiowac rekord DS miedzy hostingiem DNS a rejestratorem, a rotacje kluczy robi sie z palca. Po drugie, **ryzyko operacyjne**: zle skonfigurowany DNSSEC psuje domene **tylko dla uzytkownikow na walidujacych resolverach** (okolo 30% globalnie), co jest najgorszym typem buga, bo jest niewidoczny dla osoby, ktora robila zmiane. Po trzecie, **biznesowy case jest mglisty**: koncowi uzytkownicy nie widza DNSSEC, zadna przegladarka nie pokazuje klodki za niego, wiec nigdy nie trafia na launch checklist. Adopcja w `.com` to **5 do 10%** zaleznie od zrodla.

Czym dokladnie jest lancuch zaufania?

Lancuch **podpisow** prowadzacy od Twojej domeny w gore az do klucza, ktoremu kazdy ufa. Twoja strefa podpisuje rekordy kluczem **ZSK** (Zone Signing Key). Sam ZSK jest podpisany kluczem **KSK** (Key Signing Key). Hash KSK jest publikowany jako **rekord DS** u rodzica (`.com`). ZSK `.com` podpisuje ten DS, KSK `.com` jest zhashowany w DS u **roota**, a **root KSK** to globalna kotwica zaufania, ktora kazdy resolver ma wpisana na sztywno. Pekniecie jednego ogniwa wali caly lancuch dla tej domeny.

KSK vs ZSK: czym sie roznia?

**ZSK (Zone Signing Key)** podpisuje faktyczne rekordy w strefie (A, MX, TXT, ...). Rotuje sie go czesto (co kilka tygodni lub miesiecy), bo jest mocno uzywany. **KSK (Key Signing Key)** podpisuje wylacznie zestaw DNSKEY. Rotuje sie rzadko (raz do roku lub rzadziej), bo kazda rotacja wymaga aktualizacji **rekordu DS u rodzica**, co jest kilkudniowym tancem TTL. Podzial istnieje po to, zebys mogl rotowac halasliwy ZSK bez ruszania rejestratora. **Flaga 256 = ZSK, 257 = KSK** w rekordzie DNSKEY.

Dlaczego rekordy DS u rodzica sa tak wazne?

DS to **jedyna rzecz, ktora strefa rodzica publikuje o Twoich kluczach DNSSEC**. To hash Twojego KSK, podpisany przez rodzica. Kiedy resolver waliduje Twoja domene, idzie **z gory na dol**: ufa rootowi, DS roota dowodzi ze moze ufac `.com`, DS `.com` dowodzi ze moze ufac `example.com`. **Brak DS u rodzica = brak lancucha = Twoj DNSKEY jest ignorowany**, nawet jesli jest idealnie poprawny. To najczestsza przyczyna werdyktu "broken DNSSEC": ktos wlaczyl DNSSEC na hostingu DNS, ale nigdy nie wkleil DS do rejestratora.

Jak atakujacy wykorzystuja domeny bez DNSSEC?

**Dwa klasyczne ataki.** (1) **Cache poisoning**: atakujacy sciga sie ze sfalszowana odpowiedzia do resolvera, zeby trafic przed prawdziwa, wstrzykujac falszywe IP np. dla Twojego banku. Bez DNSSEC resolver nie ma jak odroznic odpowiedzi. Ujawnienie Dana Kaminskiego w 2008 zrobilo z tego praktyczny atak w skali internetu. (2) **On-path DNS spoofing**: kazdy kto moze przechwycic ruch DNS (zle Wi-Fi, ISP, panstwo) moze podmienic odpowiedz. DNSSEC powoduje, ze oba ataki **kończą sie zamknieciem**: podpis nie weryfikuje, resolver zwraca SERVFAIL, nie ma IP. Atakujacy moze zrobic DoS na domenie, ale nie moze sie pod nia podszyc.

Root i .com sa podpisane, wiec dlaczego tak malo domen jest chronionych?

Bo **podpisanie rodzica jest konieczne, ale nie wystarczajace**. Podpisany root i `.com` oznacza tylko, ze **moga poreczyc za Twoj rekord DS** jesli go opublikujesz. Jesli Twoja domena sama nie publikuje DNSKEY i pasujacego DS, lancuch konczy sie na `.com` a Twoje rekordy ida **bez ochrony** przez ostatni hop. Okolo 95% domen `.com` jest dzis w tym wlasnie stanie: autostrada do Twojego zjazdu jest podpisana, ale sam zjazd nie.

Czy DNSSEC spowalnia rozwiazywanie DNS?

**Troche, ale nie na tyle, zeby uzytkownik to czul.** Walidujacy resolver robi dodatkowe zapytania (o DNSKEY i RRSIG) i liczy matematyke podpisow. Na zimnym cache dodaje to **20 do 80 ms**. Na cieplym cache praktycznie zero. Pakiety odpowiedzi sa wieksze (podpisy sa duze), co historycznie powodowalo problemy ze starymi middleboxami obcinajacymi DNS powyzej 512 bajtow, ale dzisiejsze **EDNS0** i DNS over TCP / TLS / HTTPS radza sobie z tym dobrze. Nowoczesne algorytmy jak **ECDSAP256SHA256** i **ED25519** produkuja podpisy **5 do 10x mniejsze** niz RSA2048, co rozwiazalo wiekszosc skarg o rozmiar.

RSASHA256 vs ECDSAP256SHA256 vs ED25519: ktory algorytm wybrac?

**ECDSAP256SHA256 (algorytm 13)** to obecny default dla nowych wdrozen: male klucze (256 bitow), male podpisy, uniwersalne wsparcie resolverow. **ED25519 (algorytm 15)** jest jeszcze mniejszy i szybszy, ale niewielka mniejszosc starych resolverow nadal traktuje go jako insecure (strefa jako niepodpisana), wiec to dobry wybor tylko jesli nie potrzebujesz kompatybilnosci wstecznej. **RSASHA256 (algorytm 8)** wciaz dominuje w realnym ruchu (klucze strefy `.com` go uzywaja), jest niezawodny ale podpisy sa 5 do 10x wieksze. Unikaj **RSASHA1 (5, 7)** i **RSAMD5 (1)**: sa deprecated i resolvery zaczynaja je odrzucac.

Walidator mowi "Broken Chain". Jak to rozwiazac?

**Piec rzeczy do sprawdzenia, w tej kolejnosci.** (1) **Czy key tag DS u rodzica zgadza sie z key tagiem KSK u dziecka?** Niedopasowanie to 80% przypadkow, zwykle przez rotacje KSK bez aktualizacji rejestratora. (2) **Czy podpisy (RRSIG) sa wygasle?** Podpisy maja okno waznosci, typowo 7 do 30 dni. Jesli Twoj signer przestal dzialac, podpisy wygasaja i lancuch peka o polnocy. (3) **Czy ostatnio zmienialeś algorytmy?** Przejscie z RSA na ECDSA wymaga podwojnego podpisywania przez okno TTL. (4) **Sprawdz pole algorytmu w rekordzie DS u rodzica** czy zgadza sie z tym, czym Twoja strefa faktycznie podpisuje. (5) Uzyj **dnsviz.net** do glebszego trace'u, kiedy juz wiesz z naszego toola, na ktorym poziomie pekl lancuch.

Walidator DNSSEC - darmowy

Co robi ten tool

Ten walidator przechodzi przez lancuch zaufania DNSSEC dla dowolnej domeny i pokazuje, poziom po poziomie, czy jest on poprawnie podpisany. Widzisz root (.), TLD (np. `.com`) oraz Twoja domene, kazdy z rekordami DNSKEY, rekordem DS u rodzica, algorytmem (RSASHA256, ECDSAP256, ED25519, ...) i key tagiem.

Sama weryfikacja kryptograficzna jest robiona przez walidujacy resolver Cloudflare 1.1.1.1: my pytamy go z prosba o sprawdzenie podpisow i czytamy zwrocona flage AD (Authenticated Data). Zielone = podpisana i zweryfikowana. Zolte = poziom po prostu nie uzywa DNSSEC. Czerwone = podpisy albo DS nie pasuja i lancuch jest uszkodzony.

Jak uzywac

Wpisz domene np. `cloudflare.com` (bez `https://`, bez sciezki).
Kliknij Sprawdz DNSSEC. Odpytujemy DoH o DNSKEY na kazdym poziomie i o DS u rodzica.
Czytaj karte lancucha z gory na dol: root, potem TLD, na koncu Twoja domena. Kazda karta jest kolorowana.
Zielony = podpisana i zweryfikowana. Zolty = brak DNSSEC na tym poziomie (nie blad, po prostu bez ochrony). Czerwony = uszkodzony lancuch, klienci moga odrzucic domene.
Zajrzyj do tabel DS / DNSKEY: key tagi musza sie zgadzac miedzy DNSKEY dziecka a DS rodzica. Algorytm i typ digestu mowia ci, jaka kryptografia jest uzywana.
Wyprobuj przyklady: cloudflare.com, paypal.com, ietf.org sa w pelni podpisane. example.com sama jest podpisana ale jej podstrefa nie, wiec ladzie w "czesciowo".

Kiedy sie przydaje

Szesc miejsc, gdzie walidator lancucha DNSSEC bije czytanie surowego `dig +trace +dnssec`:

Audyt domeny, na ktorej wlasnie wlaczyles DNSSEC. Klikneles przelacznik u rejestratora, wkleiles DS u rodzica, teraz musisz potwierdzic, ze obie strony sie zgadzaja. Wizualizacja lancucha ujawnia niedopasowanie key tagow w kilka sekund.
Debug bledow "DNSSEC validation failure". Uzytkownicy widza nagly `SERVFAIL` tylko na walidujacych resolverach (Cloudflare, Google, Quad9). Czerwona karta wskazuje poziom, ktory pekl, a komunikat tlumaczy dlaczego.
Checklist pre-launch dla domen bankowych, rzadowych i kazdej innej domeny o wysokim zaufaniu. Pelny DNSSEC blokuje cala klase atakow (cache poisoning, on-path DNS spoofing). Sprawdz przed startem.
Porownanie dwoch domen. Odpal `twojbank.pl` obok konkurencji i zobacz kto faktycznie wdraza DNSSEC.
Weryfikacja rotacji u rodzica. Wymieniles KSK w rejestrze, wyslales nowy DS, chcesz potwierdzic, ze propagacja sie skonczyla i flaga AD wrocila do true.
Nauka DNSSEC. Trzypoziomowy lancuch (root, TLD, SLD) plus rekordy na kazdym poziomie to najczystszy sposob wyjasnienia delegacji i zaufania komus, kto nigdy tego nie widzial.

Powiazane narzedzia: DNS lookup, reverse DNS PTR, email DNS checker, WHOIS lookup, generator par kluczy DKIM.

Pytania i odpowiedzi

DNSSEC to zestaw rozszerzen DNS, ktory dodaje kryptograficzne podpisy do odpowiedzi DNS. Zwykle zapytanie zwraca "example.com jest pod 1.2.3.4" i nie ma zadnego sposobu zeby udowodnic, ze odpowiedz faktycznie pochodzi od prawdziwego DNS-a example.com. DNSSEC dolacza do odpowiedzi podpis plus lancuch zaufania siegajacy az do strefy root, dzieki czemu walidujacy resolver moze potwierdzic, ze IP zostalo opublikowane przez prawowitego wlasciciela i nikt nie podmienil odpowiedzi po drodze. To obrona przed cache poisoning i on-path DNS spoofing, nie przed przejeciem strony czy kradzieza hasel.

Co robi ten tool

Jak uzywac

Wpisz domene np. `cloudflare.com` (bez `https://`, bez sciezki).

Kliknij Sprawdz DNSSEC. Odpytujemy DoH o DNSKEY na kazdym poziomie i o DS u rodzica.

Czytaj karte lancucha z gory na dol: root, potem TLD, na koncu Twoja domena. Kazda karta jest kolorowana.

Zielony = podpisana i zweryfikowana. Zolty = brak DNSSEC na tym poziomie (nie blad, po prostu bez ochrony). Czerwony = uszkodzony lancuch, klienci moga odrzucic domene.

Zajrzyj do tabel DS / DNSKEY: key tagi musza sie zgadzac miedzy DNSKEY dziecka a DS rodzica. Algorytm i typ digestu mowia ci, jaka kryptografia jest uzywana.

Wyprobuj przyklady: cloudflare.com, paypal.com, ietf.org sa w pelni podpisane. example.com sama jest podpisana ale jej podstrefa nie, wiec ladzie w "czesciowo".

Kiedy sie przydaje

Szesc miejsc, gdzie walidator lancucha DNSSEC bije czytanie surowego `dig +trace +dnssec`:

Audyt domeny, na ktorej wlasnie wlaczyles DNSSEC. Klikneles przelacznik u rejestratora, wkleiles DS u rodzica, teraz musisz potwierdzic, ze obie strony sie zgadzaja. Wizualizacja lancucha ujawnia niedopasowanie key tagow w kilka sekund.
Debug bledow "DNSSEC validation failure". Uzytkownicy widza nagly `SERVFAIL` tylko na walidujacych resolverach (Cloudflare, Google, Quad9). Czerwona karta wskazuje poziom, ktory pekl, a komunikat tlumaczy dlaczego.
Checklist pre-launch dla domen bankowych, rzadowych i kazdej innej domeny o wysokim zaufaniu. Pelny DNSSEC blokuje cala klase atakow (cache poisoning, on-path DNS spoofing). Sprawdz przed startem.
Porownanie dwoch domen. Odpal `twojbank.pl` obok konkurencji i zobacz kto faktycznie wdraza DNSSEC.
Weryfikacja rotacji u rodzica. Wymieniles KSK w rejestrze, wyslales nowy DS, chcesz potwierdzic, ze propagacja sie skonczyla i flaga AD wrocila do true.
Nauka DNSSEC. Trzypoziomowy lancuch (root, TLD, SLD) plus rekordy na kazdym poziomie to najczystszy sposob wyjasnienia delegacji i zaufania komus, kto nigdy tego nie widzial.

Powiazane narzedzia: DNS lookup, reverse DNS PTR, email DNS checker, WHOIS lookup, generator par kluczy DKIM.

Pytania i odpowiedzi

Walidator DNSSEC

Co robi ten tool

Jak uzywac

Kiedy sie przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Sprawdzanie DNS

Reverse DNS (PTR) Lookup

DNS poczty (SPF, DKIM, DMARC)

WHOIS Lookup

Generator kluczy DKIM

Walidator DNSSEC

Co robi ten tool

Jak uzywac

Kiedy sie przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Sprawdzanie DNS

Reverse DNS (PTR) Lookup

DNS poczty (SPF, DKIM, DMARC)

WHOIS Lookup

Generator kluczy DKIM