Jak správně ověřovat domény pomocí DNS záznamu

5. 3. 2021 | Jindřich Zechmeister

V článku se podíváme na ověření domény pomocí DNS záznamu; toto ověření se provádí při žádosti o certifikát u všech domén, které jsou v objednávce certifikátu zahrnuty. Ověření provádí výhradně automat a proto je třeba držet se stanovených pravidel.

Původně zveřejněno 31. 1. 2019, aktualizováno 5. 3. 2021  

Co je to DNS záznam

DNS záznam je základní informace nutná pro funkčnost domény. Zajišťuje směrování doménových jmen a subdomén na patřičné servery a bez DNS bychom museli používat pouze nezapamatovatelné IP adresy. Místo seznam.cz bychom do prohlížeče museli psát 77.75.79.53, což by bylo značně nepraktické.

Tento systém doménových jmen máte k dispozici u každého registrátora domény a jeho editace je jednoduchá; viz další odstavec. DNS záznamy dovolují použít mnoho typů pro různé účely. Nás však bude zajímat typ TXT, který slouží pro doplňování různých informací ve formě textu.

Nastavení DNS záznamu a jeho podoba

Nastavení DNS záznamu typu TXT provedete přes editaci DNS záznamů u vašeho registrátora. Je dobré vědět, že u registrátorů se používají dva principy zápisu hlavní domény. Buď ve zdroji uvádíte celou doménu a celý záznam (tedy např. neco.domena.cz), nebo v druhém případě základní doménu neuvádíte a místo ní se používá znak "@" či subdoména ("neco" či @ místo holé domény). Druhý zmiňovaný případ se používá například u služeb CZECHIA.COM.

Pamatujte na to, že text pro ověření (random string) se nedává do uvozovek a uvozovky se pro ověření nepoužívají.

Samotný TXT záznam pro ověření (random string) nastavte na základní doménu. Pokud máte v zóně domény více DNS záznamů, můžete také ověřovací záznam nastavit pro subdoménu _dnsauth; zamezí se tím kolizím s ostatními DNS záznamy a ověření proběhne zaručeně také. Standardní TXT ověřovací záznam vypadá takto:

Příklad nastavení DNS záznamu pro ověření

Po nastavení DNS záznamu se tento zaktualizuje a do pár minut je dostupný. Certifikační autorita se v krátkých periodách ptá DNS serveru přiřazeného dané doméně a nový záznam tak získá bez větší prodlevy. Určitě není nutné čekat na "rozšíření" DNS záznamů jako při běžných úpravách u domény.

Nastavení vlastního ověřovacího e-mailu do DNS

Tato nová možnost ověření kombinuje nastavení DNS a ověření e-mailem. Jistě víte, že při ověření e-mailem je nutné využít adresy na které standardně chodí ověřovací zprávy (admin, administrator...). Pokud na ověřované doméně nemáte poštu, tak můžete kromě výše uvedeného ověřovacího stringu v DNS autorizovat použití jiné e-mailové adresy pro ověření.

Konstrukce TXT záznamu v DNS je pak následující:

_validation-contactemail.domena.cz IN TXT franta@seznam.cz

Výhoda toho postupu je v tom, že e-mailová adresa je u domény nastavena už napořád a ověřovací e-maily vám budou chodit automaticky; není třeba nic dělat. Naproti tomu ověřovací string v DNS je nutné nastavit pro každou objednávku certifikátu a jeho prodloužení.

Kontrola DNS záznamu

Nový DNS záznam si můžete zkontrolovat mnoha způsoby. Pro většinu uživatelů je nejjednodušší použít ověření přes web; k tomu slouží služby jako Dig (DNS lookup) od Google, nebo Dig web interface, který nabízí pokročilé možnosti. Tyto webové nástroje vám po zadání dotazu okamžitě zobrazí výsledek.

Pokud používáte Linux, Unix či MacOS, tak můžete použít program Dig. Spouští jednoduše v terminálu příkazem dig A seznam.cz; za příkazem dig následuje upřesnění jaký typ DNS záznamu chcete získat, tedy A, CNAME, TXT, MX, atd.

Po spuštění příkazu dostanete okamžitě odpověď:

;; ANSWER SECTION: seznam.cz. 158 IN A 77.75.79.53
;; Query time: 2 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Thu Jan 31 09:11:02 CET 2019
;; MSG SIZE rcvd: 54

Pokud ověřujete nově nastavený TXT záznam, tak v pravé straně záznamu uvidíte text pro ověření - tzv. random string. Uvozovky jsou zobrazeny pouze v odpovědi, nejsou součástí záznamu.

;; ANSWER SECTION: domena.eu. 3600 IN TXT "drvkpmgxlgn0y3s7mg7qnjd1ymhjyvqd"

V případě potíží kontaktujte podporu

Ve velice výjimečných případech může dojít je kolizi mezi záznamy či k jinému problému, který bude bránit dokončení ověření. Doporučujeme počkat 1-2 hodiny a pokud certifikát nebude ověřen a vystaven kontaktovat podporu s uvedením čísla objednávky nebo domény.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz