icomHOST

Wszystko o domenach i hostingach

Czym jest DNSSEC i czy warto go używać

Czym jest DNSSEC i czy warto go używać

icomhost.pl 1 kwietnia, 2026

System nazw domen jest filarem całego ekosystemu sieciowego, ale jednocześnie jednym z jego najbardziej narażonych elementów. Jeśli działasz w branży hostingowej, utrzymujesz serwery www lub administrujesz dużą pulą domen klientów, prawdopodobnie choć raz zadałeś sobie pytanie: jak upewnić się, że odpowiedzi DNS nie zostały podmienione lub sfałszowane po drodze? Tutaj właśnie wkracza DNSSEC – rozszerzenie bezpieczeństwa DNS, które weryfikuje autentyczność i integralność danych przy pomocy kryptografii, bez konieczności zmiany sposobu korzystania z domen przez użytkowników końcowych. To nie jest “srebrna kula” na wszystkie problemy bezpieczeństwa, ale w praktyce znacząco zmniejsza ryzyko ataków na infrastrukturę nazw i reputację usługodawcy hostingowego. W artykule omawiamy, jak DNSSEC działa, co realnie daje w codziennej pracy administratora, jakie ma ograniczenia i jak go wdrożyć, by czerpać korzyści bez zwiększania ryzyka operacyjnego.

Jak działa DNSSEC – od zapytania do weryfikacji

Klasyczny DNS odpowiada na pytanie “jaki adres IP odpowiada tej nazwie”, ale nie udowadnia, że odpowiedź pochodzi z zaufanego źródła. DNSSEC rozszerza protokół DNS o mechanizmy kryptograficzne, które pozwalają sprawdzić, czy rekordy nie zostały zmodyfikowane od czasu ich publikacji w strefie przez uprawnionego administratora.

Sercem rozwiązania są cyfrowe podpisy generowane dla każdej porcji danych DNS. Dla każdej strefy utrzymujemy parę kluczy kryptograficznych – klucz prywatny służy do podpisywania, a publiczny jest publikowany w DNS jako rekord DNSKEY, aby weryfikatory mogły potwierdzić poprawność podpisu. Poszczególne odpowiedzi DNS są wówczas opatrzone rekordami RRSIG, a wiarygodność klucza strefy potwierdza tzw. łańcuch zaufania – począwszy od strefy nadrzędnej (np. .pl), aż po samą domenę.

W praktyce wygląda to tak: kiedy rekurencyjny serwer DNS klienta (czyli resolver) pyta o rekordy dla domeny, może zażądać również danych niezbędnych do weryfikacji kryptograficznej. W odpowiedzi dostaje nie tylko klasyczne RR (A/AAAA, MX, TXT itp.), ale też RRSIG. Jeśli podpis pasuje do opublikowanego klucza publicznego, a ten z kolei jest “zapieczętowany” przez rekord DS w strefie nadrzędnej, odpowiedź jest traktowana jako wiarygodna. W przeciwnym razie resolver odrzuci ją lub oznaczy jako podejrzaną.

DNSSEC rozwiązuje również problem wiarygodnego “braku odpowiedzi”. Jeżeli zapytamy o nazwę, która nie istnieje, zwykły DNS zwróci NXDOMAIN – ale to łatwo podrobić. DNSSEC wprowadza rekordy NSEC/NSEC3, dzięki którym resolver otrzymuje kryptograficznie potwierdzone stwierdzenie nieistnienia nazwy lub typu rekordu w danej strefie. To eliminuje cały zestaw ataków opartych na fałszywych negatywnych odpowiedziach.

Istotny jest też dobór algorytmów i długości kluczy. Tradycyjne RSA (np. 2048 bitów) działa szeroko, ale zwiększa rozmiary pakietów. W kontekście współczesnych operatorów DNS i hostingów powszechnie rekomenduje się ECDSA P-256 (algorytm 13) lub P-384 (14) – są krótsze, a przez to bardziej przyjazne dla sieci i mniej podatne na fragmentację pakietów UDP. Ed25519 (15) zdobywa popularność, choć nie każdy ekosystem go jeszcze obsługuje tak szeroko jak ECDSA.

Elementy składowe i terminologia DNSSEC bez tajemnic

Aby komfortowo wdrażać DNSSEC w środowiskach hostingowych, warto dobrze znać podstawowe pojęcia. W codziennej praktyce administratora pojawiają się przede wszystkim:

  • DNSKEY – rekord publikujący klucze publiczne strefy, najczęściej rozdzielone na KSK (Key Signing Key, podpisujący wyłącznie DNSKEY) i ZSK (Zone Signing Key, podpisujący rekordy strefy).
  • RRSIG – podpis kryptograficzny konkretnego zestawu rekordów tej samej nazwy i typu. Bez nich walidacja byłaby niemożliwa.
  • DS – skrót klucza KSK publikowany w strefie nadrzędnej; to on spina łańcuch zaufania i pozwala resolverowi “uwierzyć” kluczom DNSKEY z niższej strefy.
  • NSEC/NSEC3 – mechanizmy potwierdzenia nieistnienia, chroniące przed fałszowaniem odpowiedzi NXDOMAIN i “wyliczaniem” zawartości strefy.
  • CDS/CDNSKEY – mechanizmy automatycznej publikacji i aktualizacji DS w rejestrze (jeśli rejestr/pośrednik je honoruje), co upraszcza rotacje kluczy.

W praktyce operacyjnej hostingów istotne jest jeszcze pojęcie “inline signing” – funkcji serwera autorytatywnego (np. BIND, Knot DNS, PowerDNS), który podpisuje strefę “w locie”, zamiast przechowywać wersję podpisaną jako osobny plik. To wygodne, gdy zawartość strefy jest często aktualizowana przez panele kontrolne, API czy mechanizmy automatyki CI/CD. Alternatywnie można podpisać strefę w systemie zarządzania konfiguracją i publikować gotowy plik na serwerach NS (model z tzw. ukrytym primaries/hidden primary).

Co realnie daje DNSSEC serwerom i usługom hostingowym

Najważniejszą korzyścią jest weryfikowalna integralność danych DNS, a więc odporność na zatruwanie cache (cache poisoning) i ataki typu on-path, które wstrzykują fałszywe rekordy. Atakujący nie tylko musi “trafić” w okno czasowe i parametry transakcji – dodatkowo jego odpowiedź nie przejdzie walidacji kryptograficznej, więc klient z walidującym resolverem jej nie zaakceptuje.

W ekosystemie hostingowym to przekłada się na bardzo konkretne zyski: mniejsze ryzyko przejęcia ruchu na fałszywe serwery, ograniczenie skali phishingu podszywającego się pod domeny klientów, a w konsekwencji ochronę reputacji operatora. W połączeniu z każdą usługą silnie zależną od DNS (np. serwowanie treści z wielu regionów, CDN, rozwiązywanie rekordów MX i TXT dla poczty, weryfikacje domen w panelach SaaS) DNSSEC ustawia poprzeczkę wyżej dla napastników.

Warto przy tym wyraźnie zaznaczyć różnicę między poufnością a autentycznością. DNSSEC nie szyfruje ruchu DNS – od tego są DoT/DoH – ale dodaje warstwę zaufania do danych. Rozwiązania te można i warto łączyć: DoH/DoT maskują zapytania przed podsłuchem, a DNSSEC zapewnia ich kryptograficzną weryfikację. W rezultacie łańcuch bezpieczeństwa staje się pełniejszy.

Istnieją też dodatkowe scenariusze wykorzystania: DANE/TLSA umożliwia potwierdzanie certyfikatów TLS w DNS, SSHFP pomaga dystrybuować odciski kluczy serwerów SSH, a rekordy S/MIMEA czy OPENPGPKEY wspierają bezpieczną korespondencję. W każdym z tych przypadków bazowym wymogiem jest wiarygodny DNS, jaki zapewnia DNSSEC. To tworzy ciekawy ekosystem usług możliwych do wdrożenia bez pośrednictwa zewnętrznych urzędów certyfikacji.

Węzły ryzyka: na co uważać przy wdrożeniu

Wdrożenie DNSSEC niesie ze sobą koszty i ryzyka operacyjne, które trzeba świadomie adresować. Po pierwsze – rozmiar pakietów. Podpisane odpowiedzi bywają duże. Jeśli sieć klienta filtruje lub źle obsługuje fragmentację UDP, odpowiedzi mogą się ucinać, a resolver będzie musiał przejść na TCP. Dobrą praktyką jest używanie ECDSA zamiast długich kluczy RSA oraz testy ścieżek sieciowych pod kątem MTU i filtrów.

Po drugie – rotacja kluczy. Klucz ZSK zwykle rotujemy częściej, KSK rzadziej (ponieważ zmiana KSK wymaga aktualizacji DS w strefie nadrzędnej). Procedury są proste, ale krytyczne: błędny DS w rejestrze lub wygaśnięcie podpisów może sprawić, że cała domena stanie się nieweryfikowalna. Warto mieć gotowe playbooki z krokami “rollback” oraz monitoring, który ostrzega o wygasających RRSIG na długo przed deadlinem.

Po trzecie – złożoność ekosystemu. Jeśli korzystasz z wielu dostawców DNS (multi-signer) lub łączysz autorytatywne serwery własne z CDN, musisz upewnić się, że wszyscy dostawcy dysponują spójnymi kluczami i podpisują tę samą treść. Coraz powszechniej stosuje się tu standardy i praktyki ułatwiające współpracę (np. RFC 8901), ale nadal wymaga to procesu i automatyzacji.

Po czwarte – integracje paneli i rejestrów. Nie każdy rejestr domen obsługuje automatyczne CDS/CDNSKEY; czasem trzeba ręcznie wprowadzić DS przez panel rejestratora. Jeżeli delegacja strefy lub integracje API są zautomatyzowane, zaplanuj kontrolę jakości po każdym wdrożeniu: czy DS został dodany, czy algorytm jest wspierany, czy nie ma niespójności między dostawcami.

Po piąte – debugowanie. Błędy DNSSEC bywają “zero-jedynkowe”: albo wszystko działa, albo cała strefa nie przechodzi walidacji i ruch “znika” z części Internetu. Dlatego nieodzowne są narzędzia diagnostyczne, alarmy i rutyny testowe uruchamiane zarówno przed, jak i po każdej zmianie w krytycznych rekordach.

Architektury i wzorce w hostingach – jak to poukładać

Typowa infrastruktura dostawcy hostingu opiera się na wielu warstwach: panel kliencki (cPanel/Plesk/DirectAdmin lub własny), API do DNS, autorytatywne serwery nazw w wielu regionach, a często również CDN. W każdym z tych punktów można zdecydować, gdzie i jak podpisywać strefy:

  • Inline signing na autorytatywnych NS – wygodne przy częstych zmianach, mniejsza liczba artefaktów do dystrybucji.
  • Podpisywanie “u źródła” (hidden primary) i publikacja już podpisanych stref na węzłach NS – dobre, gdy chcesz mieć kontrolę kryptograficzną w centrum i replikować gotowy wynik.
  • Pełny outsourcing DNS do wyspecjalizowanego dostawcy, który zapewnia podpisywanie, rotacje kluczy, multi-signer i integrację z rejestrami – najmniej pracy po stronie operatora, ale zależność od vendorów.

Warto pamiętać o spójności z pozostałymi elementami łańcucha usług: load balancerami, WAF-ami, rekordami ułatwiającymi migracje (np. ALIAS/ANAME w apexie), a także o tym, że niektóre integracje (np. zewnętrzny SaaS wymagający TXT do weryfikacji) muszą być propagowane w sposób nieprzerywający ważności podpisów.

Jak włączyć DNSSEC w praktyce – scenariusze i kroki

Panele hostingowe i rejestratorzy

  • cPanel/WHM – włącz podpisywanie w edytorze stref lub w funkcjach DNSSEC; uzyskaj parametry DS (Key Tag, algorytm, digest) i wprowadź je u rejestratora domen.
  • Plesk – aktywuj DNSSEC w ustawieniach domeny; podobnie, pobierz DS i zaktualizuj go w panelu rejestratora.
  • DirectAdmin – włącz podpisywanie strefy i skopiuj dane DS; upewnij się, że propagacja na serwery NS przebiega poprawnie.
  • Managed DNS (np. dostawcy chmurowi) – często oferują “włącz DNSSEC” jednym kliknięciem i sami publikują DS w rejestrze, jeśli obsługują odpowiedni TLD i integracje.

Serwery autorytatywne (BIND, Knot, PowerDNS, NSD)

  • Skonfiguruj generowanie KSK i ZSK (ECDSA P-256 jako rozsądne domyślne), włącz automatyczną re-sygnaturę stref i monitoruj terminy ważności RRSIG.
  • Jeżeli korzystasz z inline signing, upewnij się, że strefa nie jest edytowana bezpośrednio na węzłach NS, lecz przez ustalony proces (panel/API/CI).
  • W przypadku hidden primary skonfiguruj bezpieczne transfery (AXFR/IXFR po TSIG), a podpisywanie realizuj na primary; secondaries publikują już podpisane dane.

Publikacja DS w rejestrze

  • Po pierwszym podpisaniu strefy wygeneruj rekord DS na bazie KSK i wprowadź go u rejestratora domeny. Bez tego kroków łańcuch zaufania nie zepnie się na poziomie TLD.
  • Jeżeli TLD obsługuje CDS/CDNSKEY, włącz automatyczną aktualizację – ułatwi to przyszłe rotacje KSK.
  • Po każdej zmianie KSK potwierdź, że DS w rejestrze został zaktualizowany i propaguje się prawidłowo.

Walidacja po stronie klienta – rola rekurencyjnych serwerów DNS

Znaczenie ma nie tylko podpisanie strefy, ale i to, czy klienci korzystają z walidujących rekurencyjnych serwerów DNS. Wielu operatorów ISP i publicznych resolverów (np. Cloudflare, Quad9, Google Public DNS) waliduje DNSSEC. W środowisku serwerowym dobrze jest uruchomić własne rekurencyjne instancje (Unbound, Knot Resolver, BIND w trybie recursor) z włączoną walidacją, żeby twoje systemy wewnętrzne też czerpały korzyści z DNSSEC. Dzięki temu automaty i panele kontrolne szybciej wykryją nieprawidłowości – zanim objawią się one klientom końcowym.

Monitoring, testy i narzędzia do diagnostyki

  • dig/kdig/drill – sprawdzisz +dnssec, RRSIG, łańcuch DS/DNSKEY, a także ustawienia CD (Checking Disabled) i AD (Authenticated Data).
  • DNSViz, Verisign DNSSEC Analyzer – graficzna walidacja łańcucha, szybkie wskazanie braków lub błędów w DS/RRSIG.
  • Zonemaster – testy techniczne domeny, w tym DNSSEC i serwery autorytatywne.
  • Unbound-host – szybkie testy walidacji z punktu widzenia rekurencyjnego serwera DNS.
  • Monitoring metryk – liczba odpowiedzi “bogus”, czas ważności podpisów, wyniki testów syntetycznych z wielu regionów (np. RIPE Atlas).

Procesowo warto wdrożyć checklisty przed publikacją DS (preflight), po rotacji kluczy (post-rotation) i po każdej zmianie w strukturze DNS (dodanie nowego dostawcy NS, migracja do CDN, modyfikacja apexu itp.). To redukuje ryzyko “cichych” błędów, które wychodzą dopiero po TTL-ach.

Wydajność i niezawodność – co mówią liczby

Przy dobrze dobranych algorytmach (ECDSA), nowoczesnych implementacjach i rozsądnych TTL-ach narzut wydajnościowy DNSSEC jest niewielki. Podpisywanie stref w skali typowego hostingu to ułamki sekund na zmianę, a re-sygnatura planowa nie jest kosztowna CPU. Większy wpływ ma sieć: rozmiar odpowiedzi i zachowanie na granicy MTU. Dlatego ważne są testy i obserwacja wskaźnika fallbacków do TCP. Operatorzy o globalnym zasięgu stosują anycast i rozsiewanie serwerów NS, co ogranicza ryzyko strat pakietów i poprawia ogólne SLA.

Od strony niezawodności najistotniejsza jest automatyzacja rotacji i monitoringu. Błędy ludzkie to główne źródło incydentów DNSSEC. Systemy, które potrafią automatycznie publikować CDS/CDNSKEY, odnawiać RRSIG przed deadlinem oraz sygnalizować różnice między podpisanymi kopiami stref (w modelu multi-signer), minimalizują ryzyko przestojów.

Bezpieczeństwo poczty i usług web – dodatkowe scenariusze

W sektorze hostingowym ogrom ruchu to e-mail i web. DNSSEC sam w sobie nie szyfruje poczty ani protokołów aplikacyjnych, ale umożliwia szersze wdrożenia zabezpieczeń: DANE/TLSA dla SMTP (ochrona przed downgrade atakami i MITM na STARTTLS), spójniejsze polityki SPF/DKIM/DMARC (trudniej je sfałszować na poziomie DNS), wiarygodna dystrybucja rekordów dla usług federacyjnych i platform SaaS. Dodatkowym atutem jest możliwość precyzyjniejszego modelowania zaufania do hostów bez angażowania zewnętrznych katalogów czy PKI, co bywa istotne w środowiskach prywatnych i hybrydowych.

Współpraca z CDN i multi-signer – co może pójść nie tak

Wiele hostingów łączy autorytatywne DNS z CDN dla lepszego czasu odpowiedzi i ochrony aplikacji. W modelu multi-signer obie strony muszą publikować tożsame dane i podpisy, a strefa nadrzędna (rejestr) widzi spójny zestaw DS. Z pozoru to tylko “odhaczenie” integracji, ale diabeł tkwi w szczegółach: różne czasy re-sygnatury, odmienne algorytmy, mechanizmy flatteningu CNAME/ALIAS i różne polityki TTL potrafią wygenerować trudne do wykrycia rozjazdy. Dobra praktyka: jedna strona pełni rolę źródła prawdy (primary signing policy), a druga replikuje zarówno treści, jak i klucze. Narzędzia audytowe uruchamiane cyklicznie z różnych punktów sieci szybko wychwytują rozbieżności.

Kwestie prawne, regulacyjne i ryzyko reputacyjne

W miarę jak rośnie nacisk regulacyjny na usługi cyfrowe (np. NIS2 w UE), utrzymanie wysokiego poziomu higieny DNS staje się elementem należytej staranności operatora. Nie wszystkie przepisy wprost nakazują DNSSEC, ale w wielu branżach (finanse, administracja publiczna, zdrowie) jego brak jest coraz trudniejszy do obrony w analizach ryzyka. Z punktu widzenia reputacji hostingu podpisane domeny ograniczają skalę incydentów phishingowych “z winy DNS”, co przekłada się na realne oszczędności: mniej zgłoszeń do supportu, mniej eskalacji i czystsze statystyki SLA.

Czy warto wdrażać DNSSEC? Rekomendacje dla różnych profili

  • Małe i średnie firmy hostingowe: warto, jeśli panele i dostawcy DNS mają wbudowaną obsługę. Zrób to proceduralnie: szablony wdrożeń, automatyczne DS, monitoring RRSIG.
  • Duzi operatorzy i platformy SaaS: zdecydowanie tak. Wymagaj walidacji po stronie resolverów wewnętrznych, wdrażaj multi-signer z kontrolą wersji i audytem.
  • E-commerce, fintech, gov: tak, traktuj jako standard bezpieczeństwa. Rozważ DANE/TLSA dla SMTP i integracje z HSM dla kluczy KSK.
  • Proste blogi lub strony wizytówki: nadal warto, zwłaszcza gdy dostawca oferuje “włącz i zapomnij”. Z punktu widzenia bezpieczeństwa użytkowników i SEO/reputacji to niski koszt, a sensowny zysk.

Jedyny wyraźny argument “przeciw” pojawia się tam, gdzie brakuje procesów i narzędzi – jeśli organizacja nie ma kompetencji, by utrzymywać podpisane strefy i DS w rejestrze, lepiej użyć w pełni zarządzanego DNSSEC u dostawcy, zamiast próbować robić wszystko samodzielnie.

Najczęstsze błędy i sposoby ich uniknięcia

  • Brak DS w strefie nadrzędnej – domena “podpisana” tylko lokalnie nie buduje zaufania. Zawsze finalizuj łańcuch publikując DS.
  • Wygaśnięte podpisy – brak monitoringu RRSIG prowadzi do nagłych awarii. Automatyzuj re-sygnaturę i alerty.
  • Zbyt długie klucze RSA – powodują duże odpowiedzi i fragmentację. Preferuj ECDSA P-256.
  • Niespójność między dostawcami – w modelu multi-signer trzymaj jedną politykę algorytmów i cykli podpisywania.
  • Zmiana KSK bez aktualizacji DS – zawsze planuj i testuj rotacje, a jeśli to możliwe, używaj CDS/CDNSKEY.
  • Rozbudowane mechanizmy w apexie (ALIAS/ANAME) bez testów – sprawdzaj zachowanie podpisów przy każdej zmianie zależności.

FAQ – kilka krótkich odpowiedzi

  • Czy DNSSEC szyfruje ruch DNS? Nie – zapewnia autentyczność i spójność danych; poufność dają DoT/DoH.
  • Czy każdy resolver weryfikuje DNSSEC? Coraz więcej tak, ale nie wszystkie. Publiczni dostawcy zwykle walidują.
  • Czy DNSSEC szkodzi wydajności? Narzut jest znikomy przy ECDSA i prawidłowej konfiguracji sieci.
  • Czy mogę dodać DNSSEC tylko dla wybranych domen klientów? Tak, choć rekomendowany jest standard “domyślnie włączone”.
  • Co, jeśli popełnię błąd? Zaplanuj rollback, utrzymuj kopie kluczy i dawne podpisy na czas przejściowy.

Przyszłość ekosystemu DNS: DANE, SVCB/HTTPS i automatyzacja

Kierunek rozwoju to głębsza integracja z aplikacjami i maksymalna automatyzacja. Rekordy SVCB/HTTPS umożliwiają bogatszą konfigurację usług web już na poziomie DNS; w połączeniu z DNSSEC mogą przyspieszyć negocjacje i zwiększyć zaufanie do parametrów serwisu. DANE/TLSA dla poczty zyskuje zwolenników tam, gdzie ochrona łańcucha dostaw e-mail jest priorytetem. Na warstwie operacyjnej standardem staje się publikowanie CDS/CDNSKEY, aby proces rotacji KSK był bezobsługowy, oraz multi-signer, który łączy niezawodność wielu dostawców z jednolitą polityką kryptograficzną.

Lista kontrolna dla administratora hostingu

  • Wybierz algorytm ECDSA P-256 dla ZSK/KSK (chyba że masz inne wymagania kompatybilności).
  • Włącz podpisywanie stref i ustaw automatyczną re-sygnaturę z zapasem czasu (np. 2–3 dni przed wygaśnięciem).
  • Opublikuj w rejestrze rekord DS; jeśli to możliwe, skonfiguruj CDS/CDNSKEY.
  • Uruchom monitoring: ważność RRSIG, zgodność DS/DNSKEY, wskaźnik odpowiedzi “bogus”, fallback do TCP.
  • Udokumentuj i przetestuj rotacje KSK/ZSK oraz procedury rollback.
  • Zaplanuj testy syntetyczne po każdej zmianie w strefie, zwłaszcza w apexie i przy integracjach z CDN.
  • Zapewnij walidujące rekurencyjne DNS dla środowisk wewnętrznych i pipeline’ów CI/CD.
  • Oceń możliwość wdrożenia DANE/TLSA dla SMTP i SSHFP dla zarządzania dostępem do serwerów.
  • Rozważ architekturę multi-signer dla krytycznych domen i wybierz narzędzia do audytu spójności.

Podsumowanie: warto, ale z procesem

DNSSEC rozwiązuje realny problem: brak weryfikacji danych DNS. Dla operatorów hostingu i administratorów serwerów to szansa na podwyższenie standardu bezpieczeństwa, ograniczenie skutków ataków na system nazw i zbudowanie przewagi konkurencyjnej. Kluczem jest jednak podejście procesowe: automatyzacja rotacji, dobór algorytmów przyjaznych sieci, testy i monitoring. Gdy te elementy są na miejscu, wdrożenie staje się stabilne i bezobsługowe z punktu widzenia użytkownika końcowego – a korzyści są wymierne i długofalowe.

Słowniczek skrótów i pojęć

  • rezolver – patrz niżej, ale uwaga: w polskiej praktyce częściej używa się terminu rekurencyjny serwer DNS; w tekście wyróżniono słowo resolver jako kluczowe pojęcie.
  • strefa – logiczna jednostka danych DNS (np. example.com) utrzymywana na autorytatywnych serwerach nazw.
  • delegacja – wskazanie serwerów nazw odpowiedzialnych za daną domenę w strefie nadrzędnej.
  • łańcuch – skrót od łańcucha zaufania (root → TLD → domena) budowanego przez DS i DNSKEY.
  • klucze – para KSK/ZSK używana do podpisywania strefy i weryfikacji danych.