Když kupuju expirovanou doménu, dívám se na pár věcí dřív, než vyplním platbu — a DNSSEC je jedna z nich. Zní to jako nuda pro adminy, ale věř mi: zděděný DNSSEC umí tichoučce shodit web hned po převodu, a ty pak hodinu hledáš, proč doména „nejde", i když všechno ostatní vypadá v pořádku. Pojďme si to projít tak, abys to po přečtení uměl zkontrolovat sám, jedním příkazem v terminálu.

Co je DNSSEC, vysvětleno bez balastu

DNS je telefonní seznam internetu — překládá expirovanedomeny.cz na IP adresu. Problém je, že klasický DNS nikdo nepodepisuje, takže ti útočník teoreticky může podstrčit odpověď s cizí IP (tzv. cache poisoning) a ty skončíš na podvrženém serveru, aniž bys cokoli poznal.

DNSSEC (DNS Security Extensions) tohle řeší tím, že odpovědi kryptograficky podepisuje. Každá zóna má svůj klíč, podpisem ručí za to, že záznam nikdo cestou nezměnil, a důvěra se řetězí odshora dolů — od kořene přes TLD (.cz) až k tvojí doméně. Spojovacím článkem je tzv. DS záznam (Delegation Signer), který je uložený u registru .cz a říká: „klíč téhle domény je tenhle". Když podpisy nesedí, validující resolver odpověď radši zahodí — a to je přesně ten moment, kdy uvidíš SERVFAIL. Detailně to popisuje CZ.NIC ve své dokumentaci k DNSSEC.

Klíčové je tohle: DNSSEC neřeší šifrování ani soukromí. Neřeší, jestli je obsah na webu bezpečný. Řeší integritu a pravost — jistotu, že odpověď DNS je ta pravá. Nic víc, nic míň.

Proč .cz patří mezi nejsilnější DNSSEC ekosystémy

Tady mám pro .cz jen pochvalu (a to nedělám rád). Český správce domény CZ.NIC patří mezi průkopníky DNSSEC v Evropě a zabezpečení tlačí dlouhodobě a agresivně — mimo jiné finančními bonusy pro registrátory za podepsané domény. Výsledek je vidět ve statistikách: podíl podepsaných .cz domén je dlouhodobě jeden z nejvyšších na světě, výrazně nad běžným evropským průměrem. Aktuální čísla si můžeš kdykoli ověřit na veřejném dashboardu CZ.NIC s DNSSEC statistikami.

Pro tebe jako kupce to má dva důsledky. Ten dobrý: pravděpodobnost, že kupuješ doménu, která DNSSEC měla, je u .cz vyšší než jinde. Ten méně dobrý: právě proto je u .cz vyšší šance, že narazíš na zděděný DS záznam, který už neodpovídá novým nameserverům. Čím rozšířenější DNSSEC je, tím častěji řešíš jeho operativní úskalí.

Jak DNSSEC na doméně ověřit

Žádná magie, stačí terminál a dig. Nejdřív se podívám, jestli doména vůbec vrací podpisy:

dig +dnssec expirovanedomeny.cz A

V odpovědi hledáš dvě věci: záznam typu RRSIG (to je ten podpis) a ve flagách hlavičky příznak ad (Authenticated Data) — ten znamená, že validující resolver podpis ověřil a je v pořádku. Jestli RRSIG chybí, doména pravděpodobně DNSSEC nemá podepsaný.

Pak zkontroluju DS záznam, který drží registr .cz — to je ten spoj řetězu důvěry:

dig DS expirovanedomeny.cz

Pokud dig DS vrátí záznam, ale doména přitom nemá funkční klíče/podpisy (DNSKEY/RRSIG), máš zaděláno na problém — řetěz důvěry je rozbitý a resolvery doménu odmítnou. A když chci jistotu, jestli to validuje doopravdy, sáhnu po dotazu přes resolver, který validaci dělá (např. Google 8.8.8.8 nebo Cloudflare 1.1.1.1) a kouknu, jestli je tam ad flag, nebo rovnou SERVFAIL:

dig @1.1.1.1 expirovanedomeny.cz A +dnssec

Pokud terminál není tvoje parketa, vizuální kontrolu odvede online DNSSEC Analyzer od Verisign Labs nebo český validátor CZ.NIC — barevně ti ukáže, kde se řetěz láme.

Co se může pokazit

DNSSEC je perfekcionista: buď sedí všechno, nebo neplatí nic. Tady jsou tři situace, na které narážím nejčastěji.

SERVFAIL. Validující resolver vrací SERVFAIL místo IP adresy. Web se zdánlivě „nenačítá", ale chyba není na serveru — je v DNS. Nejčastěji proto, že podpisy nesedí s tím, co tvrdí DS záznam u registru. Z pohledu návštěvníka je doména prostě mrtvá.

Špatná DS konfigurace (osiřelý DS). Klasika u převodů. Stará doména měla DNSSEC, u registru .cz zůstal DS záznam ukazující na staré klíče — ale ty po koupi nasadíš vlastní nameservery bez DNSSEC, nebo s jinými klíči. DS u registru najednou ukazuje do prázdna a celá doména padne na SERVFAIL. A to je přesně ta mina, kvůli které tenhle článek píšu: zděděný DS u expirované domény tě dokáže potrápit dřív, než stihneš nahodit obsah.

Registrar/DNS provider mismatch. Doménu spravuje jeden subjekt (registrátor) a DNS hostuje jiný (DNS provider). DNSSEC vyžaduje, aby si tihle dva předali správný DS záznam k publikaci u registru. Když to nesladíš — typicky přepneš DNS providera, ale DS u registrátora nikdo neaktualizuje — řetěz se přetrhne. Bohužel tahle koordinace pořád není všude plně automatizovaná, takže ji musíš ohlídat ručně.

.de incident z května 2026: silné neznamená neprůstřelné

Že DNSSEC není hračka ani pro ty nejzkušenější, ukázal výpadek národní domény .de z 5. května 2026. Na pár desítek minut se stalo to, co by mělo být nemyslitelné — část .de zóny se stala nedostupnou kvůli problému spojenému s DNSSEC, a to navzdory tomu, že DENIC (správce .de) patří k nejrobustnějším provozovatelům na světě.

Cloudflare incident rozebral z pohledu resolverů a popsal, jak se chyba v podepsané zóně propsala až k validujícím resolverům, které pak odpovědi odmítaly. DENIC zveřejnil vlastní analýzu výpadku z 5. května 2026 s časovou osou a příčinou.

Ponaučení pro tebe je jednoduché: DNSSEC je kryptograficky silný, ale operativně citlivý. Tam, kde nepodepsaný DNS odpustí drobnou chybu, DNSSEC ji potrestá kompletním výpadkem. Proto nestačí DNSSEC „mít" — musíš ho při každé změně pohlídat. A nejcitlivější změna ze všech? Přesun domény nebo nameserverů. Tedy přesně to, co s expirovanou doménou děláš.

Checklist při přesunu domény nebo nameserverů

Tohle si projeď dřív, než zaplatíš, a pak ještě jednou těsně po převodu:

  1. Před koupí zjisti, jestli má doména DS záznam. dig DS domena.cz — pokud něco vrátí, počítej s tím, že DNSSEC budeš muset řešit, ne ignorovat.
  2. Naplánuj, kdo bude hostovat DNS. Pokud nový provider DNSSEC nepodporuje nebo ho hned nenastavíš, musíš starý DS záznam u registru nejdřív odstranit, teprve pak přepínat nameservery.
  3. Správné pořadí kroků. Buď DNSSEC vypni před přepnutím NS (smaž DS, počkej na propagaci, pak přepni), nebo nasaď nové klíče a publikuj nový DS koordinovaně. Nikdy nepřepínej NS s živým, ale nesedícím DS.
  4. Po převodu ověř ad flag a žádný SERVFAIL. dig @1.1.1.1 domena.cz +dnssec — chceš vidět ad, ne SERVFAIL.
  5. Zkontroluj řetěz online. Projeď doménu přes DNSSEC Analyzer, ať máš jistotu, že se řetěz důvěry nikde neláme.
  6. Sleduj propagaci. DNS změny nejsou okamžité — dej tomu čas dle TTL a kontroluj postupně, ne jednou.

FAQ

Musím mít DNSSEC, abych mohl provozovat .cz doménu?

Ne. DNSSEC je volitelný. Doména bez DNSSEC funguje úplně normálně, jen nemá kryptografickou ochranu DNS odpovědí. Povinné to není.

Web mi po převodu domény hází SERVFAIL. Co s tím?

S vysokou pravděpodobností máš osiřelý DS záznam u registru, který neodpovídá tvým novým nameserverům. Buď u registrátora DS smaž (pokud DNSSEC nepoužíváš), nebo publikuj DS odpovídající novým klíčům. Ověř přes dig DS domena.cz a dig @1.1.1.1 domena.cz +dnssec.

Jak rychle se projeví, když DNSSEC vypnu?

Záleží na TTL záznamů a na cache resolverů. Počítej spíš v hodinách než minutách. Proto změny plánuj a nedělej je „na ostro" těsně před spuštěním kampaně.

Sníží DNSSEC nějak rychlost nebo dostupnost webu?

Při korektním nastavení je dopad na rychlost zanedbatelný. Riziko je v dostupnosti při chybné konfiguraci — viz výpadek .de z května 2026, kdy chyba v podepsané zóně shodila dostupnost. Správně nastavený DNSSEC ale web neshazuje.

Poznám zděděný DNSSEC ještě před koupí expirované domény?

Ano, a doporučuju to. Spusť dig DS domena.cz — pokud DS existuje, víš, že po převodu budeš muset DNSSEC vyřešit, ne ho přejít mlčením.

Stačí ke kontrole jen dig, nebo potřebuju nějaký nástroj navíc?

Na rychlou kontrolu dig +dnssec a dig DS bohatě stačí. Na vizuální ověření celého řetězu důvěry je pohodlnější online DNSSEC Analyzer od Verisign Labs nebo validátor CZ.NIC.

Než u expirované .cz domény klikneš na „koupit", věnuj minutu DNS. Jeden dig ti ušetří hodinu hledání, proč web po převodu mlčí.