V článku sa pozrieme na overenie domény pomocou DNS záznamu.
Toto overenie sa vykonáva pri žiadosti o certifikát pri všetkých doménach, ktoré sú v objednávke certifikátu zahrnuté. Overenie vykonáva výhradne automat, a preto je potrebné držať sa stanovených pravidiel.
Čo je to DNS záznam
DNS záznam je základnou informáciou nutnou pre funkčnosť domény. Zaisťuje smerovanie doménových mien a subdomén na patričné servery a bez DNS by sme museli používať iba nezapamätateľné IP adresy.
Tento systém doménových mien máte k dispozícii u každého registrátora domény a jeho editácia je jednoduchá. DNS záznamy dovoľujú použiť mnoho typov na rôzne účely.
Nastavenie DNS záznamu a jeho podoba
Nastavenie DNS záznamu typu TXT urobíte cez editáciu DNS záznamov u vášho registrátora. Je dobré vedieť, že u registrátorov sa používajú dva princípy zápisu hlavnej domény. Buď v zdroji uvádzate celú doménu a celý záznam (teda napr. Nieco.domena.sk), alebo v druhom prípade základnú doménu neuvádzate a namiesto nej sa používa znak „@“ či subdoména ( „nieco“ či @ miesto samotnej domény).
Pamätajte na to, že text na overenie (random string) sa nedáva do úvodzoviek a úvodzovky sa pre overenie nepoužívajú.
Samotný TXT záznam na overenie (random string) nastavte na základnú doménu. Ak máte v zóne domény viac DNS záznamov, môžete tiež overovací záznam nastaviť pre subdoménu _dnsauth; zamedzí sa tým kolíziám s ostatnými DNS záznamami a overenie prebehne zaručene tiež.
Po nastavení DNS záznamu sa tento zaktualizuje a do pár minút je dostupný. Certifikačná autorita sa v krátkych periódach pýta DNS servera priradeného danej doméne a nový záznam tak získa bez väčšieho oneskorenia. Určite nie je nutné čakať na „rozšírenie“ DNS záznamov ako pri bežných úpravách domény.
Nastavenie vlastného overovacieho e-mailu do DNS
Táto nová možnosť overenia kombinuje nastavenia DNS a overenie e-mailom. Pri overení e-mailom je nutné využiť adresu, na ktorú štandardne chodia overovacie správy (admin, administrator). Pokiaľ na overovanej doméne nemáte poštu, tak môžete okrem vyššie uvedeného overovacieho stringu v DNS autorizovať použitie inej e-mailovej adresy na overenie.
Konštrukcia TXT záznamu v DNS je potom nasledovná:
_validation-contactemail.domena.cz IN TXT priklad@priklad.sk
Výhoda toho postupu je v tom, že e-mailová adresa je pri doméne nastavená už navždy a overovacie e-maily vám budú chodiť automaticky.
Kontrola DNS záznamu
Nový DNS záznam si môžete skontrolovať mnohými spôsobmi. Pre väčšinu používateľov je najjednoduchšie použiť overenie cez web; k tomu slúžia služby ako Dig (DNS lookup) od Google, alebo Dig web interface, ktorý ponúka pokročilé možnosti. Tieto webové nástroje vám po zadaní požiadavky okamžite zobrazia výsledok.
Ak používate Linux, Unix alebo MacOS, tak môžete použiť program Dig. Spúšťa sa jednoducho v termináli príkazom dig A priklad.sk; za príkazom dig nasleduje upresnenie, aký typ DNS záznamu chcete získať, teda A, CNAME, TXT, MX, atď.
Po spustení príkazu dostanete okamžite odpoveď:
;; ANSWER SECTION: priklad.sk. 158 IN A 77.75.79.53
;; Query time: 2 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Thu Jan 31 09:11:02 CET 2019
;; MSG SIZE rcvd: 54
Ak overujete nový nastavený TXT záznam, tak v pravej strane záznamu uvidíte text na overenie, teda Random string. Úvodzovky sú zobrazené iba v odpovedi, nie sú súčasťou záznamu.
;; ANSWER SECTION: domena.eu. 3600 IN TXT „drvkpmgxlgn0y3s7mg7qnjd1ymhjyvqd“
Ing. Peter Tomaščík
špecialista na bezpečnostné SSL certifikáty, www.sslmarket.sk
