DNSSEC za .hr i gTLD domene — kako uključiti i kako provjeriti


DNSSEC za .hr i gTLD domene — kako uključiti i kako provjeriti

#Email #Performance #domene #safety

DNSSEC (Domain Name System Security Extensions) je sloj kriptografskih potpisa nad standardnim DNS-om. Bez njega, napadač može lažirati DNS odgovor (DNS spoofing, cache poisoning) i preusmjeriti posjetitelje s tvoje domene na napadačku stranicu. S DNSSEC-om, browser može matematički verificirati da je odgovor došao od ovlaštenog vlasnika domene.

Ovaj vodič pokriva što DNSSEC zapravo radi, kako ga uključiti za .hr i gTLD domene, i kako provjeriti da radi.

Što DNSSEC štiti — i što ne štiti

ŠTITI od:

  • DNS spoofing — napadač pošalje lažni DNS odgovor
  • Cache poisoning — napadač zatvori lažne odgovore u DNS cache od ISP-a
  • Man-in-the-middle DNS hijacking na razini mreže

NE štiti od:

DNSSEC je jedan sloj sigurnosti. Ne zamjenjuje druge mjere — komplementaran je.

Kako DNSSEC tehnički radi

Lance digitalnih potpisa:

  1. TLD registry (npr. CARNet za .hr) ima root signing key
  2. Registry potpisuje listu domena svojim ključem
  3. Tvoj registrar dobije DS (Delegation Signer) zapis za tvoju domenu od registry-ja
  4. Tvoj DNS provider (hosting) ima ZSK (Zone Signing Key) i KSK (Key Signing Key)
  5. Svaki DNS zapis u tvojoj zoni je potpisan ZSK-om
  6. ZSK je potpisan KSK-om
  7. KSK-ov hash je DS zapis kod registrara

Browser/resolver prati ovaj lanac od root-a do tvog DNS zapisa. Ako bilo gdje potpis ne odgovara — odgovor je odbačen.

DNSSEC za .hr domene

CARNet kao .hr TLD registry podržava DNSSEC od 2020. Implementacija ovisi o tvom registrar-u (gdje si registrirao domenu).

Glavni .hr registrari i DNSSEC podrška

Većina ozbiljnih registrara podržava DNSSEC za .hr. Ali implementacija varira:

  • Neki imaju auto-DNSSEC (jedan klik u panel-u)
  • Neki traže manual DS record entry (kompliciranije, ali transparent)
  • Neki ne podržavaju (rijetko sad)

Provjeri sa svojim registar-om je li DNSSEC opcija u admin panel-u.

Procedura za uključenje (preko WMD-a)

Ako je domena registrirana kroz WMD i koristi naš DNS:

  1. Otvori moj.wmd.hr → Domains → odaberi domenu
  2. Klikni DNSSEC tab
  3. Klikni Enable DNSSEC
  4. Sustav automatski generira ključeve i šalje DS zapis CARNet-u
  5. Verifikacija traje 2-6 sati

Bez WMD-a — postupak ovisi o registrar-u, ali general flow je: generiraj DS zapis → pošalji registrar-u → registrar ga proslijedi CARNet-u.

DNSSEC za gTLD (.com, .org, .net, .io, ...)

Svi gTLD-i podržavaju DNSSEC od 2010. Procedure je slična .hr-u, ali ovisi o registar-u.

Popularni registrari i DNSSEC

  • Namecheap — Auto-DNSSEC za većinu TLD-ova, jedan klik
  • Cloudflare Registrar — DNSSEC by default, ne moraš ništa
  • Google Domains (sad Squarespace Domains) — auto-DNSSEC
  • GoDaddy — auto za premium klijente, manual za standard
  • OVH — manual setup, granularan kontrola

Kako provjeriti radi li DNSSEC

1. Online alati

Unesi svoju domenu, dobiti report. Cilj: zelene oznake na svim nivoima (root → TLD → tvoja domena).

2. Komandna linija

Linux/Mac:

dig +dnssec tvojadomena.hr

U output-u tražiš:

  • ad flag u zaglavlju ("flags: qr rd ra ad") — znači authenticated data
  • RRSIG zapisi u answer section — to su potpisi

3. Browser test

Posjeti dnssec.vs.uni-due.de. Ako tvoj browser/ISP koristi DNSSEC validator, stranica prikazuje 'You are using a DNSSEC validator'.

Što ako DNSSEC ne radi

Najčešći problemi:

1. DS zapis nije submittiran

Generirao si ključeve, ali registrar ih nije proslijedio TLD registry-ju. Provjeri u admin panelu registra ima li DS zapis.

2. Mismatch između KSK-a i DS zapisa

Ako mijenjaš DNS provider-a, KSK se mijenja. Trebaš generirati novi DS zapis i submittirat ga.

3. Algorithm rollover problem

RSA SHA-1 (algoritam 5) više nije siguran. Treba RSA SHA-256 (algoritam 8) ili ECDSAP256SHA256 (13). Ako koristiš stari, validator će fail.

4. Nepovezan TTL

DNS cache od ISP-ova drži stare odgovore. Promjena DNSSEC postavki može trajati 24-48 sati za potpunu propagaciju.

Trade-offovi — kad DNSSEC NIJE pametan

1. Subscription tier limit

Neki jeftiniji domain registrari naplaćuju DNSSEC kao dodatak. Ako je 5-10 €/god više — vrijednost je manja od cijene za većinu malih sajtova.

2. Operative kompleksnost

Premještanje DNS provider-a kad imaš DNSSEC traži pažljiv key rollover. Greška = sajt offline za sve DNSSEC-aware resolvere.

3. Performance overhead

DNS odgovori su veći (potpisi dodaju 2-4x size). Latencija je malo veća. Ali za većinu use case-ova neprimjetno.

4. Compatibility

Većina modernih DNS resolvera podržava DNSSEC. Ali u nekim corporate mrežama, ako mreža ima loš DNS proxy, DNSSEC odgovori mogu biti odbačeni.

Best practice

Naša preporuka 2026:

  1. Uključi DNSSEC za sve produkcijske domene
  2. Koristi modern algoritam (ECDSAP256SHA256 ili Ed25519)
  3. Auto-rollover ako tvoj DNS provider podržava
  4. Monitoring (alat koji te obavještava ako DNSSEC pukne)
  5. Documentiraj key rotation proces

DNSSEC + DANE — bonus razina

DANE (DNS-based Authentication of Named Entities) je sljedeći korak — koristiš DNSSEC da publiciraš TLSA zapise koji govore browseru tačan SSL certifikat za tvoju domenu. Štiti od kompromitiranih CA (Certificate Authority) napada.

Adoption DANE-a za web (HTTPS) je nizak. Bolja adoption za email (MTA-STS je alternativa). Ako gradiš email infrastrukturu, vrijedi pogledati DANE/MTA-STS.

WMD i DNSSEC

Naša DNS infrastruktura podržava DNSSEC za sve domene koje hostamo. Auto-DNSSEC je u finalizaciji za sve klijente — u međuvremenu, javi info@wmd.hr za manual uključenje (besplatno).

Postupak je obično 5-10 minuta s naše strane + 2-6 sati za TLD propagaciju.

FAQ

Koja je razlika između DNSSEC i HTTPS?

Različiti slojevi. DNSSEC verificira da je DNS odgovor autentičan (gdje je server). HTTPS/SSL verificira da je server koji si pogodio onaj koji tvrdi da je (i enkriptira komunikaciju). Trebaš oba.

Koliko košta DNSSEC za .hr?

CARNet ne naplaćuje. Tvoj registrar može — provjeri. WMD ne naplaćuje za naše hosting klijente.

Što ako moja CMS instalacija prestane raditi nakon DNSSEC?

DNSSEC nije povezan s CMS-om. Ako sajt prestane raditi, vjerojatnije je DNS propagation issue (čekaj 24h) ili nepovezan problem.

Mogu li koristiti DNSSEC s Cloudflare-om?

Da. Cloudflare ima vlastiti DNSSEC implementation. Treba submittirat DS zapis koji ti Cloudflare generira tvom registar-u.

Što ako mi pukne DNSSEC?

Možeš ga privremeno isključiti (DS zapis kod registrara → delete). DNS će ponovno raditi za sve resolvere u roku od 24-48h. Onda popraviš problem i ponovno uključuje.

Zaključak

DNSSEC je standardna sigurnosna mjera koja se gotovo besplatno aktivira. Za 2026, nema dobre izgovore da je nemaš na produkcijskim domenama.

Praktičan plan:

  1. Provjeri ima li tvoj registrar DNSSEC opciju
  2. Uključi za sve produkcijske domene
  3. Validate s online alatima
  4. Dokumentiraj proces (za buduće domene)

Kombiniraj s SSL (vidi SSL upute), SPF/DKIM/DMARC za email (vidi email deliverability članak), i WAF na hostingu — kompletna obrana na 4 sloja.

Trebaš pomoć oko aktivacije? Javi se.

Hosting za OpenCart 2026 — kompletan vodič za hrvatski webshop  
  News

Our users about us

Adriano Bratovic

We have been cooperating with WMD for years. We cannot recommend them enough. They went above and beyond and went the extra mile (not included in the offer) countless times. Grateful to have such support and a provider.

Joško Matušan

Apsolutno sam oduševljen WMD-om! Korisnička podrška je fenomenalna -brza i profesionalna te rješavaju probleme dok ste još na vezi. Usluga je stabilna, brza i pouzdana. Od kada sam kod njih, a to je desetak godina, nemam apsolutno nikakvih briga oko svog weba, tako da sam kod njih smjestio već 4…

ivan K

Svaka čast svima u WMD podršci, koristimo dosta usluga od WMDa i svaki puta i u bilo koje doba dana ste na usluzi. Sigurno budemo i dalje koristili vaše usluge

Goran Stevic

I have to admit, I have worked with various companies, but kudos to you, you are the best!!! Quick answers, solve the problem quickly, really professional, kudos to you greetings from Sweden

Ivana Ivanusec

WMD is our long-standing and reliable partner in the world of hosting and web design! 🚀 Their top-notch technical support, speed, and professionalism allow us to deliver flawlessly functioning websites to our users. They are always available, accommodating and ready to help, and they are extremely…

Tomislav Vrkljan

WMD offers quality web hosting services with excellent customer support. I have been using their services since 2006 and in all these years I have not come across a more reliable partner in this field. Their expert team quickly and efficiently solves any technical challenge, while the flexibility…

Portal dugoselo.info

"The speed, knowledge, and availability of WMD customer service gives me full confidence in the project, ease, and security in using the service and tools. They quickly, very communicatively, and professionally resolved every query I had."

GNOSIS Translation Agency

After experiences with various providers, we finally found a reliable hosting partner in WMD. The quality of service is at a high level, and we quickly receive an answer and an adequate solution to every question we have. I can recommend WMD to anyone who wants quality and reliable hosting.

Problems for May 1st

Since we wanted to create the content on the website ourselves, we chose WMD. And as it happens with beginners, we encountered an unsolvable problem. We sent a request for help to WMD, or rather HELP!!!!!. It was on May 1st of this year, well after midnight. And…. very quickly (really VERY quickly)…

SEO.hr

If you decide to host based on price, you will most likely end up at the back of the queue when something happens to the server. My advice is to not skimp on hosting and to get hosting where someone will always be there to help you and make sure everything is running smoothly no matter how big or…

Gamabon doo

In the economic crisis that has been on our market for a long time, every expense, whether for a good or a service, seems excessive or expensive, regardless of the specific monetary value. And when the good or service is of poor quality, then the expense is especially large and expensive, even in…

1Click - IT solutions

We switched to your hosting a while ago based on a recommendation from a colleague. Although we already had several domains with services opened with other hosting companies, we must emphasize that we are extremely satisfied with the switch. We would like to take this opportunity to commend your…

Virna, trade for IT services

I would like to take this opportunity to commend your customer service and your service in general. Your administrators are fair, kind and have enormous patience for all questions and are willing to help at any time. I have been doing this job for 20 years and I can freely say that I have only had…

Specialist practice of family medicine with diagnostics

If you want to have a beautiful and functional website that will reflect your business, I definitely recommend WMD. I have been working with this company for 7 years and I am extremely satisfied with their hosting services, web design, and especially the speed and quality of web support. It is…

Helcos doo

Dear gentlemen! I congratulate you on your idea and realization of the JUMBO posters . They are unique and useful. I suggest you make them bigger, I think they are not sufficiently known and recognized by the public. You responded quickly and professionally to my request to change the background…

SEE ALL COMMENTS FROM OUR USERS
CMS create a website yourself
400+ web scripts on click
CMS, Shop, Blog... automatic installation in 1 click

trial period of
7 days

Domain active
in 5 minutes

DNSSEC za .hr i gTLD domene — kako uključiti i kako provjeriti