• Nejlepší postupy pro infrastrukturu a zabezpečení webových stránek

Pochopení úlohy záznamů DNS ve funkčnosti a zabezpečení webových stránek

  • Felix Rose-Collins
  • 8 min read
Pochopení úlohy záznamů DNS ve funkčnosti a zabezpečení webových stránek

Úvodní stránka

DNS je zkratka pro Domain Name System (systém doménových jmen). Jedná se o základní technologii, díky níž internet funguje tak, jak funguje. Jeho nejzákladnější definice zní: "Systém DNS je zodpovědný za překlad IP adres webových stránek na jejich doménová jména."

Ve skutečnosti je systém DNS schopen mnohem více. Funkce DNS se provádějí pomocí záznamů DNS. Záznamy DNS jsou textové soubory, které obsahují základní informace důležité pro fungování DNS.

Tento článek zdůrazňuje význam záznamů DNS pro fungování a zabezpečení webových stránek. Za tímto účelem se podíváme na různé typy záznamů DNS a vysvětlíme, co dělají v souvislosti s funkcí nebo zabezpečením webových stránek.

Na konci tohoto článku získáte lepší přehled o systému doménových jmen.

Understanding the Role of DNS Records in Website Functionality and Security

Jak funguje systém DNS?

Pro pochopení záznamů DNS a jejich úlohy ve funkci a zabezpečení webových stránek je nutné mít určité znalosti o systému doménových jmen (DNS).

Vše tedy začíná u počítače. Počítač, který hledá webovou stránku, se nazývá klient. Klient se se svým požadavkem obrátí na server známý jako DNS resolver. DNS resolver je server přidělený poskytovatelem internetových služeb nebo si můžete v nastavení operačního systému nastavit vlastní. Úkolem resolveru je vyřizovat všechny dotazy DNS zadané klientem.

Seznamte se s nástrojem Ranktracker

Univerzální platforma pro efektivní SEO

Za každým úspěšným podnikem stojí silná kampaň SEO. Vzhledem k nesčetným optimalizačním nástrojům a technikám je však těžké zjistit, kde začít. No, už se nebojte, protože mám pro vás přesně to, co vám pomůže. Představuji vám komplexní platformu Ranktracker pro efektivní SEO.

Konečně jsme otevřeli registraci do nástroje Ranktracker zcela zdarma!

Vytvoření bezplatného účtu

Nebo se přihlaste pomocí svých přihlašovacích údajů

Takže. Klient požádá resolver: "Hej, chci najít toto doménové jméno (xyz.com). Znáte jeho IP adresu?" Řešitel zkontroluje svou mezipaměť, zda má uloženo jméno domény a její IP. Pokud ne, kontaktuje řadu serverů v hierarchii DNS, aby zjistil, zda mají danou IP adresu.

Obrázek hierarchie DNS

DNS Hierarchy Image

Zdroj obrázku: https://www.menandmice.com/glossary/dns-server-types

Obvykle je IP adresa nalezena poměrně rychle. Někdy však musí překladač jít až na vrchol hierarchie a dotazovat se serverů známých jako kořenové jmenné servery (NS).

Na světě existuje 13 kořenových jmenných serverů, které obsahují IP adresy všech webových stránek na webu. Pokud IP adresa domény na jmenných serverech neexistuje, znamená to, že dotaz DNS pro danou doménu je "neřešitelný".

Po nalezení IP adresy ji resolver odešle zpět klientovi. Klient pak zadá požadavek serveru na dané IP adrese a server odpoví požadovanou webovou stránkou.

Takto funguje jednoduchý dotaz a vše se odehraje během několika sekund. Jak se k tomu staví záznamy DNS? Informace uložené na všech serverech v hierarchii DNS jsou uloženy ve formě záznamů DNS.

Seznamte se s nástrojem Ranktracker

Univerzální platforma pro efektivní SEO

Za každým úspěšným podnikem stojí silná kampaň SEO. Vzhledem k nesčetným optimalizačním nástrojům a technikám je však těžké zjistit, kde začít. No, už se nebojte, protože mám pro vás přesně to, co vám pomůže. Představuji vám komplexní platformu Ranktracker pro efektivní SEO.

Konečně jsme otevřeli registraci do nástroje Ranktracker zcela zdarma!

Vytvoření bezplatného účtu

Nebo se přihlaste pomocí svých přihlašovacích údajů

Záznamy DNS může správce webu spravovat pomocí oblíbených nástrojů, jako je cPanel, Cloudflare, GoDaddy atd. Chcete-li se dozvědět, jak můžete spravovat své webové stránky pomocí těchto nástrojů, přečtěte si náš článek o cPanelu. Vytvoření podrobné dokumentace o správě záznamů DNS může být časově náročné. Generátor odstavců s umělou inteligencí vám pomůže efektivně vytvářet kvalitní informativní obsah, který usnadní srozumitelné vysvětlení složitých konceptů.

Nyní se podíváme, jak záznamy DNS pomáhají a přispívají k funkčnosti webových stránek.

Různé záznamy DNS a jejich přínos pro funkčnost webových stránek

Začneme kontrolou záznamů, které hrají roli ve funkci webových stránek. Těch je ve srovnání se záznamy o zabezpečení více.

Všechny záznamy DNS sdílejí stejnou šablonu. Zleva doprava je uveden název domény, doba do konce platnosti, třída záznamu, název záznamu a hodnota záznamu. Většina záznamů se liší pouze názvem a hodnotou. Níže je uveden obrázek záznamu A.

dnschecker Zdroj obrázku: dnschecker

Na obrázku jsou zobrazeny čtyři záznamy A pro Microsoft.com. Název domény je "microsoft.com". TTL je 1290 sekund, IN (internet) je třída, A je název záznamu a čísla jsou adresy IPv4, tj. hodnoty.

Nyní, když už víme, jak vypadá typický záznam DNS, pochopíme, k čemu slouží a jak přispívají k funkčnosti webových stránek.

1. Záznamy A/AAA

Záznamy A a AAAA označují adresy IPv4 a IPv6. Jejich jediným účelem je mapovat IP adresy na doménové jméno. To je nejzákladnější funkce DNS, díky níž funguje internet.

IP adresa, jak možná víte, je číselné (IPv4) nebo šestnáctkové (IPv6) vyjádření polohy serveru.

Veškerý obsah na webu je uložen na mnoha serverech po celém světě. Při vyhledávání doménového jména kontroluje resolver DNS svou mezipaměť, zda pro danou doménu nemá záznamy A nebo AAAA.

Pokud je nenajde, dotáže se ostatních serverů v hierarchii, zda je mají, nebo ne. Pokud jsou příslušné záznamy A/AAAA nalezeny, resolver je uloží do mezipaměti, aby je později nemusel hledat.

Nyní byste si již měli uvědomit, jakou roli hrají záznamy A/AAAA pro funkci webových stránek. Bez těchto záznamů by nebylo možné webové stránky vyhledat. Konfigurace záznamů A/AAAA webových stránek je tedy pro jejich funkci klíčová.

2. Záznam CNAME

Záznamy CNAME nejsou tak důležité jako záznamy A/AAAA, ale mají své jedinečné využití. Záznam CNAME je aliasem jedné domény na jinou. Zjednodušeně řečeno, můžete zajistit, aby všechny dotazy DNS pro jednu doménu byly automaticky odesílány na jinou doménu.

Pokud máte například doménu s názvem "cars.com" a jinou doménu s názvem "vehicles.com", můžete pomocí záznamu CNAME aliasovat doménu "cars.com" na doménu "vehicles.com".

Kdykoli někdo zadá do adresního řádku prohlížeče "cars.com", ocitne se automaticky na stránce "vehicles.com". Je to proto, že na dotaz DNS na "cars.com" se zobrazí záznam CNAME, který odkazuje na záznam A/AAAA "vehicles.com".

To je užitečné pro webové stránky, které mají více podobných domén. Díky záznamům CNAME bude koncový uživatel vždy přesměrován na správný web. Pokud se tedy vaše doména jmenuje "xyz.org", můžete vytvořit záznamy CNAME pro "www.xyz.org", které budou směřovat na "xyz.org".

3. Záznam MX

MX je zkratka pro záznamy o výměně pošty. Záznamy MX jsou klíčové pro funkce e-mailu na webových stránkách. Jejich úkolem je v podstatě určit, které poštovní servery se zabývají e-maily domény.

Řekněme, že provozujete internetový obchod. Je zřejmé, že budete mít e-mailovou adresu, na kterou vás mohou zákazníci kontaktovat. Můžete mít také samostatnou e-mailovou adresu pro potenciální obchodní partnery.

Pokud jsou vaše záznamy MX správně nakonfigurovány, nebudete mít s příjmem e-mailů žádné problémy. Veškeré e-maily směřující na e-mailovou adresu vaší domény budou odeslány na správný poštovní server definovaný v záznamu.

Bez záznamu MX by tyto e-maily byly ztraceny. Nedostanete je, protože nebudou odeslány na žádný poštovní server. Když e-maily nedostanete, nemůžete na ně odpovědět. To vyvolává dojem, že jste nekomunikativní, a zanechává to špatný dojem na uživatele vašich webových stránek.

4. Záznam TXT

Záznamy TXT jsou nestandardní záznamy, které lze použít pro různé funkce. Mohou být použity pro ověření webových stránek poskytovateli služeb třetích stran, jako jsou vyhledávače, poštovní servery, poskytovatelé rozhraní API atd.

Záznam TXT nemá nastavenou hodnotu jako jiné záznamy. Jeho hodnota může být jakákoli. Pokud nepřekročíte limit znaků, můžete zadat jakoukoli hodnotu.

Pro ověření webových stránek poskytují výše uvedení poskytovatelé služeb třetích stran soukromě správci webu nastavenou hodnotu, kterou přidá do svého záznamu TXT. Pokud je tato hodnota stejná jako hodnota, kterou uvedl poskytovatel služeb třetí strany, znamená to, že se jedná o správný web, nikoli o podvodníka.

Existují i další způsoby použití záznamů TXT pro zabezpečení, které si prověříme v části "Zabezpečení".

5. Záznam NS

Zdaleka nejdůležitějším typem záznamu je záznam NS. NS je zkratka pro jmenný server. Nameservery jsou na vrcholu hierarchie DNS. Obsahují všechny záznamy o doméně.

Záznamy NS uvádějí, které jmenné servery obsahují záznamy domény. Bez záznamu NS by resolvery a servery DNS níže v hierarchii nevěděly, na který server se mají dotazovat, aby získaly informace o konkrétní doméně.

Pokud tedy záznamy NS nejsou k dispozici, vaše webové stránky v podstatě nelze najít, což je činí nepoužitelnými. Proto se ujistěte, že jsou vaše záznamy NS v pořádku.

6. Záznam SRV

SRV je zkratka pro službu. Tyto záznamy určují, které internetové služby, jako je VoIP, e-maily a zasílání zpráv, používají které porty.

Bez záznamu SRV budou konkrétní přenosy pro konkrétní porty zahozeny. Pro většinu webových stránek to obvykle nepředstavuje problém. Pokud však používáte internetové služby, které využívají VoIP, e-maily nebo instant messaging, je třeba záznamy SRV správně nastavit.

7. Záznam PTR

Záznamy PTR se používají pro zpětné vyhledávání DNS. Zkratka PTR znamená ukazatel a tento typ záznamu mapuje IP adresu na název domény. Jedná se tedy o opak záznamu A/AAAA.

Záznamy PTR jsou pro fungování webových stránek nezbytné, protože slouží k ověřování. Někdy mohou webové stránky podvrhnout název své domény a odesílat požadavky na server jiné domény. Server může pomocí záznamů PTR zkontrolovat, zda se IP adresa podvrženého doménového jména shoduje s IP adresou skutečné domény.

V případě neshody je požadavek zamítnut.

Záznamy DNS, které přispívají k zabezpečení

alt_text

Zabezpečení webových stránek je nesmírně důležité. Více se o něm můžete dozvědět z jednoho z našich dalších článků.

Níže jsou uvedeny záznamy, které pomáhají zabezpečit vaše webové stránky a zabránit různým bezpečnostním rizikům, jako je spoofing a otrávení mezipaměti.

1. Záznamy DNSSEC

DNSSEC je zkratka pro zabezpečení DNS. Jedná se o bezpečnostní protokol, jehož cílem je omezit nedostatky v systému DNS. Systém DNS nebyl navržen s ohledem na bezpečnost. Bylo tedy velmi snadné jej použít jako vektor útoku.

V rámci DNSSEC byly zavedeny dva typy nových záznamů. Tyto záznamy pomáhají zabezpečit obsah jiných záznamů a ověřit zdroj, ze kterého pocházejí.

DNSSEC funguje na základě kryptografie s veřejným klíčem. Záznamy DNS jsou v podstatě podepsány kryptografickými klíči, aby bylo zajištěno, že s jejich daty nebude možné manipulovat.

Podobné klíče slouží k tomu, aby bylo zajištěno, že záznamy také pocházejí ze správného zdroje.

Pomáhá to se zabezpečením webových stránek, protože se můžete bránit proti útokům na otrávení mezipaměti. Škodlivé subjekty mohou změnit záznamy DNS v mezipaměti resolveru a plynule přesměrovat provoz z jedné webové stránky na jinou.

Pomocí technologie DNSSEC můžete ochránit návštěvníky, kteří se snaží dostat na vaše webové stránky, před zlomyslným přesměrováním a zachovat si dobrou pověst.

Podívejme se na to, jak to implementují záznamy DS a DNSKEY.

2. Záznam DNSKEY

Záznam DNSKEY obsahuje veřejný klíč. Tento veřejný klíč je párem k soukromému klíči zóny. Všechny záznamy DNS zóny jsou podepsány soukromým klíčem a veřejný klíč ze záznamu DNSKEY se používá k ověření tohoto podpisu.

Pokud podpis nelze ověřit, znamená to, že údaje v záznamu byly změněny a tento záznam je neplatný.

Stále však zůstává otázka: jak lze ověřit, že samotný veřejný klíč nebyl kompromitován? Zde přicházejí na řadu záznamy DS.

3. Záznam DS

Záznam DS je zkratka pro Delegation Signer. Jedná se o záznam, který deleguje autoritu na doménu. V hierarchii DNS existují administrativní rozdělení známá jako zóny. Zóny mohou mít rodiče nebo potomky. Nadřazené zóny jsou považovány za autoritativní, tj. jsou důvěryhodné a jejich informace jsou důvěryhodné.

Nadřazené zóny mohou delegovat své pravomoci na podřízené zóny. K tomu jim slouží záznamy DS. Záznamy DS obsahují hash klíče uloženého v záznamu DNSKEY.

Pokud se hash hodnoty záznamu DNSKEY shoduje s hashem v záznamu DS, znamená to, že klíč je platný. Toto ověření se provádí na všech úrovních, tj. na nadřazené zóně, nadřazené zóně a tak dále.

4. Záznamy SPF, DKIM a DMARC

Záznamy TXT hrají v zabezpečení velkou roli. Záznamy TXT spojené se zabezpečením se nazývají SPF, DKIM a DMARC. Souvisejí se zabezpečením e-mailů souvisejících s vaší doménou. Jejich nastavením můžete ochránit pověst odesílatele e-mailů a zvýšit doručitelnost e-mailů na vašich webových stránkách.

Role těchto záznamů spolu souvisejí. Začněme záznamy SPF.

5. Záznamy SPF

SPF je zkratka pro Sender Policy Framework. Záznamy SPF uvádějí, které poštovní servery jsou oprávněny odesílat e-maily jménem domény. Před zavedením záznamů SPF mohl kdokoli odeslat e-mail a tvrdit, že pochází z určité domény. To představovalo problém podvodníků, kteří takové e-maily používali k phishingu, škodlivému přesměrování a dokonce i k sociálnímu inženýrství.

6. Záznamy DKIM

DKIM je zkratka pro Domain Keys Identified Mail. Jedná se rovněž o typ textového záznamu. Záznamy DKIM pokrývají jednu slabinu, kterou zanechaly záznamy SPF. Tou je možnost podvrhnout e-mailovou adresu.

Záznamy DKIM také používají kryptografii k zajištění toho, že e-mail pochází ze správného zdroje. DKIM má dvě části: veřejný klíč dostupný v záznamech DNS a hlavičku DKIM v e-mailu podepsanou soukromým klíčem. Klienti přijímající e-maily musí zkontrolovat, zda jsou klíč záhlaví DKIM a klíče záznamů součástí stejného páru, nebo ne. Pokud ano, pak e-mail pochází ze správného zdroje, pokud ne, je e-mail odmítnut.

7. Záznamy DMARC

DKIM a SPF se používají k ověření zdroje e-mailu a k omezení podvržených zpráv. DMARC slouží k tomu, aby příjemci e-mailu sdělil, co má dělat, když dostane e-maily, které neprojdou výše uvedenými kontrolami.

Seznamte se s nástrojem Ranktracker

Univerzální platforma pro efektivní SEO

Za každým úspěšným podnikem stojí silná kampaň SEO. Vzhledem k nesčetným optimalizačním nástrojům a technikám je však těžké zjistit, kde začít. No, už se nebojte, protože mám pro vás přesně to, co vám pomůže. Představuji vám komplexní platformu Ranktracker pro efektivní SEO.

Konečně jsme otevřeli registraci do nástroje Ranktracker zcela zdarma!

Vytvoření bezplatného účtu

Nebo se přihlaste pomocí svých přihlašovacích údajů

DMARC je zkratka pro Domain-Based Message Authentication Reporting and Conformance.

Záznamy DMARC v podstatě říkají příjemci e-mailu, aby provedl jednu nebo více z následujících akcí, pokud e-mail nevyhoví kontrolám SPF a DKIM.

  • Označte e-mail jako spam.
  • Nechat projít nevyžádanou poštu
  • Odmítnutí nevyžádané pošty

Kromě toho se také hlásí doméně, jejíž e-maily nevyhovují kontrolám SPF a DKIM. To pomáhá vlastníkům domén zkontrolovat, zda jejich doména nemá nějaké problémy, a rychle přijmout opatření k udržení reputace odesílatele.

Bez záznamů DMARC poskytovatelé e-mailových služeb sami rozhodují o odmítnutí nebo přijetí e-mailů. To může mít podivné důsledky pro pověst vaší domény (a tím i pro pověst vašich webových stránek). Proto je lepší mít nad tím kontrolu.

Závěr

Nyní vidíte, jak jsou záznamy DNS důležité pro fungování a zabezpečení webových stránek. Bez záznamů DNS není možné vyhledat webové stránky. Systém DNS je také zodpovědný za definování portů pro jednotlivé služby na webových stránkách (například e-mail a VoIP).

Pomocí bezpečnostních záznamů DNS zabráníte ostatním, aby zneužili podobu vašich webových stránek ke škodě. Zajistíte také, aby byla zachována pověst odesílatele e-mailů vašich webových stránek, což vede k tomu, že se do schránek spotřebitelů dostane více e-mailů.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Začněte používat Ranktracker... zdarma!

Zjistěte, co brání vašemu webu v umístění.

Vytvoření bezplatného účtu

Nebo se přihlaste pomocí svých přihlašovacích údajů

Different views of Ranktracker app