Podpora 24/7
FAQ
 Ovládací panel
Zůstatek účtu:    
Proč šifrovat DNS mezi resolverem a autoritou

Proč šifrovat DNS mezi resolverem a autoritou

Kvě 23, 2026 dns security encrypted transport dot authoritative nameservers dns infrastructure cybersecurity domain management dns protocol

DNS, o kterém se nemluví: co se děje mezi resolverem a autoritativním serverem

Když se řeší zabezpečení DNS, většinou se mluví o DNSSEC nebo o šifrovaných dotazech z prohlížeče na resolver. Jenže mezi tím leží část cesty, která zůstává nechráněná – od vašeho resolveru k autoritativním nameserverům. A právě tam se teď začíná dít něco důležitého.

Na setkáních OARC se v poslední době otevřelo téma, které dlouho stálo mimo zájem. Dotazy, které resolver posílá dál, aby zjistil, kam vlastně doména vede, cestují po internetu v otevřené podobě. I když je komunikace mezi uživatelem a resolverem chráněná přes DoH nebo DoT, samotné dotazy na autoritativní servery zůstávají odhalené.

Proč by vás to mělo zajímat

Útočník, který má přístup k síti, může tyto dotazy zachytit a podstrčit falešné odpovědi. To otevírá možnosti pro několik typů útoků:

  • přesměrování provozu ještě před tím, než se dotaz dostane k resolveru
  • získání informací o struktuře vaší infrastruktury
  • otrávení cache, které ovlivní více uživatelů najednou
  • průzkum před DDoS útokem

Pro menší firmy a startupy, které běží na NameOcean, je DNS v podstatě vstupní branou k jejich službám. Pokud někdo dokáže tyto záznamy ovlivnit, může uživatele nasměrovat jinam nebo službu úplně vyřadit.

Jak se šifrování prosazuje v backendu

Řešení se hledají v několika směrech. Jedním je DoT přímo mezi resolverem a autoritativním serverem – tedy šifrované spojení podobné tomu, co už známe z komunikace s klienty, ale přizpůsobené pro jiné zatížení a vzorce provozu.

Další možností je DoH, který využívá HTTP/2 nebo HTTP/3. Nabízí lepší výkon a snazší integraci se stávající infrastrukturou.

Problémem ale zůstává režie. Šifrování přináší zpoždění a vyšší nároky na výpočetní výkon. Na OARC se proto hodně diskutovalo o tom, jestli se to vyplatí – zvlášť u velkých resolverů, které zpracovávají miliony dotazů za sekundu.

Problém není jen technický

Na rozdíl od DoH a DoT na straně klienta, kde stačí podpora v prohlížečích a operačních systémech, tady musí spolupracovat více stran najednou. Autoritativní servery, recursive resolvery, registrátoři i poskytovatelé hostingu – všichni musí být připraveni.

Bez jejich koordinace to nejde. Vaše domény mohou být na NameOcean, ale pokud nameservery vašeho registrátora nebo velké veřejné resolvery šifrování nepodporují, zůstane komunikace nechráněná.

Co s tím můžete dělat teď

Pokud spravujete domény přes NameOcean, máte několik praktických kroků:

  1. Sledujte vývoj – šifrované transporty se časem stanou standardem
  2. Kontrolujte DNS logy a hledejte podezřelé vzorce (v analytics to u nás jde)
  3. Zvažte DNSSEC jako dočasné řešení, dokud nebude šifrování dostupné všude
  4. Zapněte logování dotazů, abyste rychle odhalili anomálie

Co nás čeká

Z diskuzí na OARC je jasné, že komunita problém zná a pracuje na řešení. Otázkou už není jestli, ale kdy a jak se šifrování mezi resolverem a autoritativním serverem rozšíří.

Nejspíš to půjde postupně – nejdřív velcí poskytovatelé, pak širší adopce, jak se bude řešit výkon. My na NameOcean tyto změny sledujeme průběžně. Součástí naší Vibe Hosting AI-powered strategie je právě to, abychom byli připravení dřív, než se tyto věci stanou nutností.

Shrnutí

Šifrování DNS mezi resolverem a autoritativním serverem je další vrstva ochrany, která zatím není vidět, ale v budoucnu bude klíčová. Není to tak viditelné jako DoH v prohlížeči, ale ovlivní to bezpečnost celé vaší doménové infrastruktury.

A protože se o tom teď mluví na OARC, je dobré vědět, co se chystá – i když to zatím není na seznamu priorit.

Read in other languages:

RU BG EL UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN