Kontaktujte nás: +420 603 196 637 (+420 603 1 ZONER) | djcechi@gmail.com

Magazín o bezpečnosti

Magazín o SSL certifikátech a certifikačních autoritách pro Vás píší odbornící z SSLmarketu.

Jak správně ověřovat domény pomocí DNS záznamu

(31. 1. 2019) V článku se podíváme na ověření domény pomocí DNS záznamu; toto ověření se provádí při žádosti o certifikát u všech domén, které jsou v objednávce certifikátu zahrnuty. Ověření provádí výhradně automat a proto je třeba držet se stanovených pravidel.

Co je to DNS záznam

DNS záznam je základní informace nutná pro funkčnost domény. Zajišťuje směrování doménových jmen a subdomén na patřičné servery a bez DNS bychom museli používat pouze nezapamatovatelné IP adresy. Místo seznam.cz bychom do prohlížeče museli psát 77.75.79.53, což by bylo značně nepraktické.

Tento systém doménových jmen máte k dispozici u každého registrátora domény a jeho editace je jednoduchá; viz další odstavec. DNS záznamy dovolují použít mnoho typů pro různé účely. Nás však bude zajímat typ TXT, který slouží pro doplňování různých informací ve formě textu.

Nastavení DNS záznamu a jeho podoba

Nastavení DNS záznamu typu TXT provedete přes editaci DNS záznamů u vašeho registrátora. Je dobré vědět, že u registrátorů se používají dva principy zápisu hlavní domény. Buď ve zdroji uvádíte celou doménu a celý záznam (tedy např. neco.domena.cz), nebo v druhém případě základní doménu neuvádíte a místo ní se používá znak "@" či subdoména ("neco" či @ místo holé domény). Druhý zmiňovaný případ se používá například u služeb CZECHIA.COM.

Pamatujte na to, že text pro ověření (random string) se nedává do uvozovek a uvozovky se pro ověření nepoužívají.

Samotný TXT záznam pro ověření (random string) nastavte na subdoménu _dnsauth. Zamezí se tím kolizím s ostatními DNS záznamy a ověření proběhne zaručeně. Takový záznam pak vypadá takto:

Příklad nastavení DNS záznamu pro ověření

Po nastavení DNS záznamu se tento zaktualizuje a do pár minut je dostupný. Certifikační autorita se v krátkých periodách ptá DNS serveru přiřazeného dané doméně a nový záznam tak získá bez větší prodlevy. Určitě není nutné čekat na "rozšíření" DNS záznamů jako při běžných úpravách u domény.

Výjimky, které je dobré znát

Pro použití DNS záznamu platí několik výjimek. První z nich se týká OV a EV certifikátů DigiCert, které vyžadují nastavení DNS záznamu přímo k základní doméně (tedy bez prefixu _dnsauth). Jinak se ověření nezdaří.

Tuto výjimku si samozřejmě nemusíte pamatovat; stačí použít záznam zobrazený v SSLmarketu v detailu dané domény.

U OV a EV certifikátů DigiCert také platí, že randomstring pro jejich ověření není v administraci zobrazen automaticky (k datu psaní článků to není technicky možné.) Pokud tedy chcete ověřit doménu v OV/EV certifikátu přes DNS, tak si od nás vyžádejte správný záznam pro ověření.

Kontrola DNS záznamu

Nový DNS záznam si můžete zkontrolovat mnoha způsoby. Pro většinu uživatelů je nejjednodušší použít ověření přes web; k tomu slouží služby jako Dig (DNS lookup) od Google, nebo Dig web interface, který nabízí pokročilé možnosti. Tyto webové nátroje vám po zadání dotazu okamžitě zobrazí výsledek.

Pokud používáte Linux, Unix či MacOS, tak můžete použít program Dig. Spouští jednoduše v terminálu příkazem dig A seznam.cz; za příkazem dig následuje upřesnění jaký typ DNS záznamu chcete získat, tedy A, CNAME, TXT, MX, atd.

Po spuštění příkazu dostanete okamžitě odpověď:

;; ANSWER SECTION: seznam.cz. 158 IN A 77.75.79.53
;; Query time: 2 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Thu Jan 31 09:11:02 CET 2019
;; MSG SIZE rcvd: 54

Pokud ověřujete nově nastavený TXT záznam, tak v pravé straně záznamu uvidíte text pro ověření - tzv. random string. Uvozovky jsou zobrazeny pouze v odpovědi, nejsou součástí záznamu.

;; ANSWER SECTION: _dnsauth.domena.eu. 3600 IN TXT "drvkpmgxlgn0y3s7mg7qnjd1ymhjyvqd"

V případě potíží kontaktujte podporu

Ve velice výjimečných případech může dojít je kolizi mezi záznamy či k jinému problému, který bude bránit dokončení ověření. Doporučujeme počkat 1-2 hodiny a pokud certifikát nebude ověřen a vystaven kontaktovat podporu s uvedením čísla objednávky nebo domény.