Klíčové poznatky
- Bezpečnost domény je stejně důležitá jako bezpečnost serveru – kompromitovaná doména ohrožuje celé vaše podnikání.
- 2FA (dvoufaktorové ověření) u registrátora je naprostý základ – bez něj riskujete domain hijacking.
- DNSSEC chrání vaše DNS záznamy před manipulací a je u .cz domén snadno aktivovatelný.
- E-mailová autentizace (SPF, DKIM, DMARC) brání zneužití vaší domény pro phishing.
- Pravidelný monitoring DNS záznamů a WHOIS dat odhalí neoprávněné změny včas.
Proč je bezpečnost domény kriticky důležitá
Doména je vstupní bránou k vašemu webu, e-mailu a online identitě. Pokud útočník získá kontrolu nad vaší doménou (domain hijacking), může:
- Přesměrovat váš web na podvodnou stránku
- Zachytávat e-maily – včetně obchodní komunikace a resetů hesel
- Rozesílat phishing z vaší značky
- Trvale poškodit reputaci vaší firmy
Zabezpečení účtu u registrátora
Dvoufaktorové ověření (2FA/MFA)
Zapněte 2FA u každého účtu registrátora. Použijte autentifikační aplikaci (Google Authenticator, Authy, Microsoft Authenticator) – nikdy SMS, která je zranitelná SIM-swap útoky.
Silné a unikátní heslo
Účet registrátora by měl mít jedinečné heslo, které nepoužíváte nikde jinde. Ideálně generované password managerem (Bitwarden, 1Password, KeePass).
Transfer Lock a Registry Lock
Transfer Lock zabraňuje neoprávněnému převodu domény. Měl by být aktivní vždy. Registry Lock je vyšší úroveň – změny vyžadují ruční ověření registrátorem, obvykle telefonicky.
DNSSEC – ochrana integrity DNS
DNSSEC přidává kryptografické podpisy k DNS záznamům. Chrání proti:
- DNS spoofing – podvržení falešné DNS odpovědi
- Cache poisoning – otrávení DNS cache resolveru
- Man-in-the-middle útokům na DNS komunikaci
💡 PRO TIP:
U .cz domén je aktivace DNSSEC jednoduchá – většina registrátorů ji nabízí jedním kliknutím. CZ.NIC aktivně podporuje nasazení DNSSEC. Podívejte se na přehled TLD koncovek pro informace o podpoře DNSSEC u různých TLD.
E-mailová bezpečnost domény
I pokud z domény neposíláte e-maily, nastavte ochranu proti zneužití:
| Záznam | Co dělá | Příklad pro doménu bez e-mailu |
|---|---|---|
| SPF | Definuje oprávněné odesílací servery | v=spf1 -all |
| DKIM | Digitální podpis e-mailů | Volitelný u domén bez e-mailu |
| DMARC | Politika pro neautorizované e-maily | v=DMARC1; p=reject |
Bezpečnostní checklist
✅ Bezpečnostní checklist pro domény
- ☐ 2FA aktivní u účtu registrátora
- ☐ Silné a unikátní heslo (password manager)
- ☐ Transfer Lock zapnutý
- ☐ DNSSEC aktivní
- ☐ SPF záznam nastaven
- ☐ DMARC politika nastavena
- ☐ Kontaktní e-mail u registrátora je aktuální
- ☐ Doména registrována na firmu (IČO), ne na osobu
- ☐ Auto-renewal zapnutý
- ☐ Monitoring DNS změn nastaven
Často kladené otázky (FAQ)
Co je domain hijacking?
Domain hijacking je neoprávněné převzetí kontroly nad doménou – typicky přes kompromitovaný účet registrátora, sociální inženýrství nebo zneužití procesu převodu domény.
Jak zjistím, jestli je moje doména bezpečná?
Zkontrolujte: je aktivní 2FA? Je zapnutý Transfer Lock? Je DNSSEC aktivní? Jsou nastaveny SPF a DMARC záznamy? Jsou kontaktní údaje aktuální?
Stačí mít silné heslo k doménovému účtu?
Ne. Silné heslo je nutné, ale ne dostatečné. 2FA je kriticky důležité, protože hesla mohou být kompromitována přes phishing nebo únik dat z jiných služeb.
Pokročilé metody ochrany domén před únosy (Domain Hijacking)
Únos domény, známý také jako domain hijacking, je noční můrou každého provozovatele webu. Útočníci mohou vaši doménu převést k jinému registrátorovi a změnit kontaktní údaje dříve, než si problému vůbec všimnete. Získání ukradené domény zpět je pak složitý, zdlouhavý a často i velmi drahý právní proces. Právě proto je důležité implementovat pokročilé bezpečnostní mechanismy, jako je Domain Registry Lock, který znemožňuje jakékoli neautorizované změny v registrech.
Klíčem k obraně je silné zabezpečení vašeho účtu u registrátora domény. Vždy aktivujte dvoufázové ověření (2FA), nejlépe pomocí hardwarového klíče nebo autentizační aplikace typu Google Authenticator. Tím zabráníte útočníkům v přístupu k vašemu panelu, i kdyby se jim podařilo získat vaše heslo. Nikdy nepoužívejte stejné heslo pro registrátora domény a pro e-mailovou schránku, která je k účtu přidružena.
Pravidelný monitoring je rovněž nezbytný. Využívejte služby, které vás okamžitě upozorní e-mailem nebo SMS zprávou, pokud dojde ke změně nameserverů nebo WHOIS záznamů u vaší domény. Rychlá reakce v případě neautorizované změny je klíčová k tomu, abyste stihli únos zablokovat ještě před jeho dokončením, například rychlým zásahem u podpory vašeho registrátora.
Další zdroje informací: Wikipedia
