Fully Qualified Domain Name — przewodnik po systemie DNS, hierarchii domen i narzędziach diagnostycznych
Fully Qualified Domain Name — a guide to DNS, domain hierarchy, TLDs and diagnostic tools
FQDN (Fully Qualified Domain Name — w pełni kwalifikowana nazwa domenowa) to pełna, jednoznaczna ścieżka identyfikująca konkretny host w hierarchii systemu nazw domenowych (DNS). W odróżnieniu od zwykłej nazwy domeny, FQDN zawiera wszystkie poziomy hierarchii — od nazwy hosta, przez domenę organizacji i domenę najwyższego poziomu (TLD), aż po niewidoczną kropkę oznaczającą strefę korzenia (root zone).
Termin został formalnie zdefiniowany w RFC 1035 (1987) — dokumencie opisującym implementację i specyfikację systemu DNS. Zgodnie z tą specyfikacją, FQDN to absolutna nazwa w drzewie domenowym, która nie wymaga żadnego uzupełniania ani interpretacji kontekstowej.
Przykład: www.example.pl. — każdy segment oddzielony kropką to osobny poziom w hierarchii DNS. Końcowa kropka reprezentuje korzeń (root) drzewa DNS i jest tym, co czyni nazwę w pełni kwalifikowaną.
Internet to sieć miliardów urządzeń, z których każde identyfikowane jest numerycznym adresem IP (np. 93.184.216.34 dla IPv4 lub 2606:2800:220:1:248:1893:25c8:1946 dla IPv6). Zapamiętywanie tych adresów byłoby niewykonalne — dlatego w 1983 roku Paul Mockapetris zaprojektował Domain Name System (DNS, RFC 882/883, później RFC 1034/1035), hierarchiczny i rozproszony system tłumaczący nazwy zrozumiałe dla ludzi na adresy IP.
DNS pełni tę samą funkcję co książka telefoniczna — pozwala odnaleźć numer (adres IP) na podstawie nazwy (domeny). Jednak w odróżnieniu od płaskiej książki telefonicznej, DNS jest drzewem hierarchicznym z jasno zdefiniowanymi poziomami odpowiedzialności. FQDN to pełna ścieżka od liścia tego drzewa do jego korzenia.
FQDN (Fully Qualified Domain Name) is the complete, unambiguous path that identifies a specific host within the Domain Name System (DNS) hierarchy. Unlike a plain domain name, an FQDN includes every level of the hierarchy — from the hostname, through the organization's domain and Top-Level Domain (TLD), all the way to the invisible dot representing the root zone.
The term was formally defined in RFC 1035 (1987) — the document specifying DNS implementation. Per this specification, an FQDN is an absolute name in the domain tree that requires no completion or contextual interpretation.
Example: www.example.pl. — each dot-separated segment is a distinct level in the DNS hierarchy. The trailing dot represents the root of the DNS tree, and it's what makes the name fully qualified.
The Internet is a network of billions of devices, each identified by a numeric IP address (e.g., 93.184.216.34 for IPv4 or 2606:2800:220:1:248:1893:25c8:1946 for IPv6). Memorizing these addresses would be impractical — so in 1983, Paul Mockapetris designed the Domain Name System (DNS, RFC 882/883, later RFC 1034/1035), a hierarchical and distributed system that translates human-readable names into IP addresses.
DNS serves the same function as a phone book — it lets you find a number (IP address) by name (domain). But unlike a flat phone book, DNS is a hierarchical tree with clearly defined levels of authority. An FQDN is the complete path from a leaf of that tree to its root.
Każde FQDN składa się z etykiet (labels) oddzielonych kropkami. Czytane od lewej do prawej, przechodzą od najbardziej szczegółowego poziomu (host) do najbardziej ogólnego (root):
Every FQDN consists of labels separated by dots. Read from left to right, they go from the most specific level (host) to the most general (root):
Zgodnie z RFC 1035 i RFC 1123, FQDN podlega ścisłym regułom:
WWW.Example.PL = www.example.pl (RFC 4343)xn--)Dlaczego 253, a nie 255? W formacie wire DNS każda etykieta poprzedzona jest bajtem długości, a nazwa kończy się bajtem zerowym. Np. www.example.com. kodowane jest jako: \x03www\x07example\x03com\x00 — bajty długości i terminator zajmują dodatkowe oktety.
Per RFC 1035 and RFC 1123, FQDNs are subject to strict rules:
WWW.Example.PL = www.example.pl (RFC 4343)xn--)Why 253 and not 255? In DNS wire format, each label is preceded by a length byte, and the name ends with a zero byte. E.g., www.example.com. is encoded as: \x03www\x07example\x03com\x00 — the length bytes and terminator consume extra octets.
Kiedy wpisujesz www.example.com w przeglądarce, uruchamia się złożony proces rozwiązywania nazwy (DNS resolution) — od Twojego komputera, przez kilka serwerów, aż do uzyskania adresu IP. Cały proces trwa zazwyczaj 20-120 milisekund.
/etc/hosts. Jeśli nazwa jest w cache — odpowiedź natychmiastowa, bez zapytania DNS./etc/resolv.conf lub przez DHCP). Wysyła pakiet UDP na port 53 z flagą RD (Recursion Desired)..com → a.gtld-servers.net)..com operowany przez Verisign). TLD też nie zna końcowej odpowiedzi — zwraca kolejny referral: adresy serwerów NS domeny example.com.ns1.example.com). Ten serwer zna odpowiedź — zwraca rekord A z adresem IP i flagą AA (Authoritative Answer).When you type www.example.com in your browser, a complex name resolution process kicks off — from your computer, through several servers, until an IP address is obtained. The entire process typically takes 20-120 milliseconds.
/etc/hosts. If the name is cached — instant response, no DNS query needed./etc/resolv.conf or via DHCP). Sends a UDP packet to port 53 with the RD (Recursion Desired) flag set..com → a.gtld-servers.net)..com server operated by Verisign). The TLD server also doesn't have the final answer — returns another referral: NS records for example.com.ns1.example.com). This server knows the answer — returns the A record with the IP address and the AA (Authoritative Answer) flag.DNS tradycyjnie używa UDP na porcie 53 (pakiety do 512 bajtów, lub więcej z EDNS0). Dla dużych odpowiedzi przełącza się na TCP/53. Nowoczesne protokoły szyfrowane: DoT (DNS over TLS, port 853), DoH (DNS over HTTPS, port 443) i DoQ (DNS over QUIC, port 853).
DNS traditionally uses UDP on port 53 (packets up to 512 bytes, or larger with EDNS0). For large responses, it falls back to TCP/53. Modern encrypted protocols: DoT (DNS over TLS, port 853), DoH (DNS over HTTPS, port 443), and DoQ (DNS over QUIC, port 853).
Istnieje dokładnie 13 tożsamości serwerów root (A-M), ale dzięki routingowi anycast obsługuje je ponad 2000 fizycznych instancji rozmieszczonych na całym świecie. Limit 13 wynika z oryginalnego ograniczenia protokołu DNS — 13 wpisów NS z glue records (adresy IPv4) to maksimum, jakie mieściło się w 512-bajtowym pakiecie UDP.
There are exactly 13 root server identities (A-M), but thanks to anycast routing, they are served by over 2,000 physical instances worldwide. The limit of 13 comes from the original DNS protocol constraint — 13 NS entries with IPv4 glue records were the maximum that fit in a 512-byte UDP packet.
| Litera | Operator | IPv4 | Instancje |
|---|---|---|---|
| A | Verisign, Inc. | 198.41.0.4 | 59 |
| B | USC-ISI | 170.247.170.2 | 6 |
| C | Cogent Communications | 192.33.4.12 | 13 |
| D | University of Maryland | 199.7.91.13 | 231 |
| E | NASA (OCIO) | 192.203.230.10 | 328 |
| F | Internet Systems Consortium | 192.5.5.241 | 366 |
| G | DISA (U.S. DoD) | 192.112.36.4 | 6 |
| H | U.S. Army DEVCOM ARL | 198.97.190.53 | 12 |
| I | Netnod (Szwecja) | 192.36.148.17 | 90 |
| J | Verisign, Inc. | 192.58.128.30 | 150 |
| K | RIPE NCC (Holandia) | 193.0.14.129 | 153 |
| L | ICANN | 199.7.83.42 | 141 |
| M | WIDE Project (Japonia) | 202.12.27.33 | 29 |
| Letter | Operator | IPv4 | Instances |
|---|---|---|---|
| A | Verisign, Inc. | 198.41.0.4 | 59 |
| B | USC-ISI | 170.247.170.2 | 6 |
| C | Cogent Communications | 192.33.4.12 | 13 |
| D | University of Maryland | 199.7.91.13 | 231 |
| E | NASA (OCIO) | 192.203.230.10 | 328 |
| F | Internet Systems Consortium | 192.5.5.241 | 366 |
| G | DISA (U.S. DoD) | 192.112.36.4 | 6 |
| H | U.S. Army DEVCOM ARL | 198.97.190.53 | 12 |
| I | Netnod (Sweden) | 192.36.148.17 | 90 |
| J | Verisign, Inc. | 192.58.128.30 | 150 |
| K | RIPE NCC (Netherlands) | 193.0.14.129 | 153 |
| L | ICANN | 199.7.83.42 | 141 |
| M | WIDE Project (Japan) | 202.12.27.33 | 29 |
TLD (Top-Level Domain) to najwyższy poziom w hierarchii DNS, znajdujący się bezpośrednio pod strefą root. Zarządzanie nimi koordynuje ICANN (Internet Corporation for Assigned Names and Numbers), a rejestr TLD prowadzi IANA (Internet Assigned Numbers Authority). Na początku 2026 roku istnieje ponad 1500 aktywnych TLD.
Dwuliterowe kody przypisane krajom i terytoriom zgodnie z normą ISO 3166-1 alpha-2. Łączna liczba rejestracji ccTLD: ~146,3 miliona (Q1 2026).
A TLD (Top-Level Domain) is the highest level in the DNS hierarchy, sitting directly below the root zone. Their management is coordinated by ICANN (Internet Corporation for Assigned Names and Numbers), and the TLD registry is maintained by IANA (Internet Assigned Numbers Authority). As of early 2026, there are over 1,500 active TLDs.
Two-letter codes assigned to countries and territories per ISO 3166-1 alpha-2. Total ccTLD registrations: ~146.3 million (Q1 2026).
| # | TLD | Kraj | Country | Rejestracje | Registrations |
|---|---|---|---|---|---|
| 1 | .cn | Chiny | China | ~21,0M | |
| 2 | .de | Niemcy | Germany | ~17,7M | |
| 3 | .uk | Wielka Brytania | United Kingdom | ~10,4M | |
| 4 | .ru | Rosja | Russia | ~6,6M | |
| 5 | .nl | Holandia | Netherlands | ~6,2M | |
| 6 | .br | Brazylia | Brazil | ~5,4M | |
| 7 | .fr | Francja | France | ~4,5M | |
| 8 | .au | Australia | Australia | ~4,3M | |
| 9 | .eu | Unia Europejska | European Union | ~3,9M | |
| 10 | .in | Indie | India | ~3,5M | |
| 11 | .it | Włochy | Italy | ~3,5M | |
| 12 | .us | Stany Zjednoczone | United States | ~2,8M | |
| 13 | .pl | Polska | Poland | ~2,6M | |
| 14 | .ch | Szwajcaria | Switzerland | ~2,5M | |
| 15 | .ca | Kanada | Canada | ~2,4M | |
| 16 | .es | Hiszpania | Spain | ~1,9M | |
| 17 | .jp | Japonia | Japan | ~1,8M | |
| 18 | .be | Belgia | Belgium | ~1,7M | |
| 19 | .kr | Korea Południowa | South Korea | ~1,6M | |
| 20 | .cz | Czechy | Czech Republic | ~1,4M |
Oryginalne domeny generyczne bez ograniczeń geograficznych. .com z ponad 157 milionami rejestracji jest największą domeną na świecie.
Original generic domains without geographical restrictions. .com with over 157 million registrations is the world's largest TLD.
| TLD | Przeznaczenie | Purpose | Rejestracje | Registrations |
|---|---|---|---|---|
.com | Komercyjne (bez ograniczeń) | Commercial (unrestricted) | ~157,2M | |
.net | Sieci (bez ograniczeń) | Network (unrestricted) | ~12,6M | |
.org | Organizacje (bez ograniczeń) | Organizations (unrestricted) | ~11,1M | |
.info | Informacyjne | Information | ~6,2M | |
.biz | Biznesowe | Business | ~1,3M |
Po rozszerzeniu ICANN w 2012 roku wprowadzono ponad 1200 nowych gTLD. Łączna liczba rejestracji: ~38 milionów (wzrost 13,5% rok do roku). Obejmują domeny tematyczne (.app, .dev), geograficzne (.london, .tokyo) i brandowe (.google, .amazon).
Ciekawostka: .app i .dev (oba należą do Google) mają wymuszone HTTPS przez preloaded HSTS — nie da się ich użyć bez certyfikatu SSL.
Uwaga na .io — technicznie to ccTLD Brytyjskiego Terytorium Oceanu Indyjskiego, ale używany jest jako domena technologiczna. Po porozumieniu w sprawie suwerenności z Mauritiusem (2024), jego przyszłość jest pod obserwacją IANA.
Domeny ograniczone do konkretnych społeczności, z organizacją sponsorującą weryfikującą uprawnienia:
After ICANN's expansion in 2012, over 1,200 new gTLDs were introduced. Total registrations: ~38 million (13.5% YoY growth). These include topical domains (.app, .dev), geographic (.london, .tokyo), and brand TLDs (.google, .amazon).
Fun fact: .app and .dev (both Google registries) enforce HTTPS via preloaded HSTS — they cannot be used without an SSL certificate.
Note on .io — technically a ccTLD for British Indian Ocean Territory, but widely used as a tech domain. Following the 2024 sovereignty agreement with Mauritius, its long-term future is under IANA review.
Domains restricted to specific communities with a sponsoring organization enforcing eligibility:
| TLD | Sponsor | Sponsor | Społeczność | Community |
|---|---|---|---|---|
.edu | Educause | Akredytowane uczelnie w USA | U.S. accredited post-secondary institutions | |
.gov | CISA (DHS) | Rząd USA (federalny, stanowy, lokalny) | U.S. government entities | |
.mil | DISA (DoD) | Wojsko USA | U.S. military | |
.int | IANA | Organizacje traktatowe (NATO, WHO) | International treaty organizations | |
.aero | SITA | Transport lotniczy | Air transport industry | |
.coop | DotCooperation | Spółdzielnie | Cooperative associations | |
.post | UPU | Usługi pocztowe | Postal services |
.arpa (Address and Routing Parameter Area) — jedyna domena infrastrukturalna w DNS, zarządzana przez IANA pod nadzorem IETF (RFC 3172). Oryginalnie dla ARPANET, dziś służy wyłącznie celom technicznym:
in-addr.arpa — reverse DNS dla IPv4ip6.arpa — reverse DNS dla IPv6e164.arpa — mapowanie numerów telefonów (ENUM)home.arpa — sieci domowe (RFC 8375)Zinternatywizowane domeny krajowe używające skryptów innych niż łaciński. Wewnętrznie przechowywane jako Punycode (prefiks xn--). Istnieje ~59 IDN ccTLD w 23 skryptach.
.arpa (Address and Routing Parameter Area) — the only infrastructure TLD in DNS, managed by IANA under IETF oversight (RFC 3172). Originally for ARPANET, now used exclusively for technical purposes:
in-addr.arpa — IPv4 reverse DNSip6.arpa — IPv6 reverse DNSe164.arpa — telephone number mapping (ENUM)home.arpa — home networks (RFC 8375)Internationalized country-code domains using non-Latin scripts. Internally stored as Punycode (xn-- prefix). Approximately 59 IDN ccTLDs exist across 23 scripts.
| Skrypt | Script | TLD (Unicode) | Punycode | Kraj | Country |
|---|---|---|---|---|---|
| Cyrylica | Cyrillic | .рф | xn--p1ai | Rosja | Russia |
| Cyrylica | Cyrillic | .укр | xn--j1amh | Ukraina | Ukraine |
| Arabski | Arabic | .مصر | xn--wgbh1c | Egipt | Egypt |
| Chiński | Chinese | .中国 | xn--fiqs8s | Chiny | China |
| Dewanagari | Devanagari | .भारत | xn--h2brj9c | Indie | India |
| Tajski | Thai | .ไทย | xn--o3cw4h | Tajlandia | Thailand |
| Hangul | Hangul | .한국 | xn--3e0b707e | Korea Płd. | South Korea |
DNS przechowuje dane w rekordach zasobów (Resource Records). Każdy rekord ma typ, klasę (prawie zawsze IN — Internet), TTL i dane. Poniżej najważniejsze typy:
DNS stores data in Resource Records. Each record has a type, class (almost always IN — Internet), TTL, and data. The most important types:
| Typ | RFC | Opis | Przykład |
|---|---|---|---|
A | 1035 | Mapuje nazwę na adres IPv4 | example.com. A 93.184.216.34 |
AAAA | 3596 | Mapuje nazwę na adres IPv6 | example.com. AAAA 2606:2800:... |
CNAME | 1035 | Alias — wskazuje na inną nazwę | www CNAME example.com. |
MX | 1035 | Serwer poczty z priorytetem | MX 10 mail.example.com. |
NS | 1035 | Serwer nazw (delegacja strefy) | NS ns1.example.com. |
TXT | 1035 | Tekst — SPF, DKIM, weryfikacja | "v=spf1 include:... ~all" |
SOA | 1035 | Początek strefy — metadane | ns1 admin 2024010101 ... |
PTR | 1035 | Reverse DNS — IP → nazwa | 93.in-addr.arpa. PTR ... |
SRV | 2782 | Lokalizacja usługi (host, port) | SRV 10 60 5060 sip.... |
CAA | 8659 | Autoryzacja CA do wydania certyfikatu | CAA 0 issue "letsencrypt.org" |
DNSKEY | 4034 | Klucz publiczny DNSSEC | KSK (257) / ZSK (256) |
DS | 4034 | Hash klucza potomka (łańcuch zaufania) | W strefie nadrzędnej |
| Type | RFC | Description | Example |
|---|---|---|---|
A | 1035 | Maps name to IPv4 address | example.com. A 93.184.216.34 |
AAAA | 3596 | Maps name to IPv6 address | example.com. AAAA 2606:2800:... |
CNAME | 1035 | Alias — points to another name | www CNAME example.com. |
MX | 1035 | Mail exchanger with priority | MX 10 mail.example.com. |
NS | 1035 | Nameserver (zone delegation) | NS ns1.example.com. |
TXT | 1035 | Text — SPF, DKIM, verification | "v=spf1 include:... ~all" |
SOA | 1035 | Start of Authority — zone metadata | ns1 admin 2024010101 ... |
PTR | 1035 | Reverse DNS — IP → hostname | 93.in-addr.arpa. PTR ... |
SRV | 2782 | Service locator (host, port) | SRV 10 60 5060 sip.... |
CAA | 8659 | CA authorization for cert issuance | CAA 0 issue "letsencrypt.org" |
DNSKEY | 4034 | DNSSEC public key | KSK (257) / ZSK (256) |
DS | 4034 | Child key hash (trust chain) | In parent zone |
PQDN (Partially Qualified Domain Name) to niepełna nazwa domenowa — skrót, który wymaga uzupełnienia przez resolver DNS. Różnica między FQDN a PQDN ma ogromne znaczenie praktyczne, szczególnie w środowiskach korporacyjnych i Kubernetes.
PQDN (Partially Qualified Domain Name) is an incomplete domain name — a shorthand that requires completion by the DNS resolver. The difference between FQDN and PQDN has significant practical implications, especially in corporate environments and Kubernetes.
| Aspekt | FQDN | PQDN |
|---|---|---|
| Pełna ścieżka | Tak — od hosta do root | Nie — wymaga uzupełnienia |
| Końcowa kropka | mail.example.pl. | mail |
| Jednoznaczność | Globalnie unikalny | Zależy od search domain |
| Zastosowanie | Zone files, SSL, MX, PTR | Shell, /etc/hosts, lokalna sieć |
| Aspect | FQDN | PQDN |
|---|---|---|
| Complete path | Yes — host to root | No — needs completion |
| Trailing dot | mail.example.pl. | mail |
| Ambiguity | Globally unique | Depends on search domain |
| Use case | Zone files, SSL, MX, PTR | Shell, /etc/hosts, local network |
W Kubernetes domyślne ndots:5 oznacza, że każda nazwa z mniej niż 5 kropkami najpierw dostaje search domain — to generuje 4-5 zbędnych zapytań DNS na każdy lookup. Wiele klastrów produkcyjnych ustawia ndots:2 lub używa FQDN z kropką na końcu.
In Kubernetes, the default ndots:5 means any name with fewer than 5 dots gets search domains prepended first — generating 4-5 unnecessary DNS queries per lookup. Many production clusters override this to ndots:2 or use FQDNs with trailing dots.
Certyfikat SSL/TLS zawiera identyfikatory w polu SAN (Subject Alternative Name). Przeglądarka porównuje FQDN z wpisami SAN — niezgodność = ERR_CERT_COMMON_NAME_INVALID. Wildcard *.example.pl matchuje www.example.pl, ale nie matchuje example.pl ani sub.www.example.pl.
Serwer SMTP identyfikuje się komendą EHLO mail.example.com (RFC 5321). Odbiorca wykonuje FCrDNS (Forward-Confirmed reverse DNS): sprawdza PTR łączącego IP, potem A record tego PTR, i porównuje z EHLO. Niezgodność = sygnał spamu.
Rekordy PTR mapują adresy IP na FQDN. IPv4 używa in-addr.arpa (odwrócone oktety), IPv6 używa ip6.arpa (format nibble). Kluczowe dla: dostarczalności maili, logowania SSH, audytów bezpieczeństwa.
AD jest fundamentalnie zbudowane na DNS. Kontrolery domeny rejestrują rekordy SRV (_ldap._tcp.dc._msdcs.corp.example.com.), Kerberos polega na FQDN w Service Principal Names (SPN), a relacje zaufania między domenami używają referrali opartych na FQDN.
Kubernetes ma wbudowany DNS (CoreDNS) ze strukturalną hierarchią FQDN: <serwis>.<namespace>.svc.cluster.local.. Pody w StatefulSet mają indywidualne FQDN: pod-0.my-service.default.svc.cluster.local.
Trzy mechanizmy uwierzytelniania poczty — wszystkie oparte na rekordach DNS pod ściśle określonymi FQDN. SPF: rekord TXT w domenie nadawcy. DKIM: klucz publiczny pod selector._domainkey.example.com.. DMARC: polityka pod _dmarc.example.com.. Błędne FQDN = rekord ignorowany.
SSL/TLS certificates contain identifiers in the SAN (Subject Alternative Name) field. The browser compares the FQDN against SAN entries — mismatch = ERR_CERT_COMMON_NAME_INVALID. Wildcard *.example.pl matches www.example.pl, but does not match example.pl or sub.www.example.pl.
SMTP servers identify themselves with EHLO mail.example.com (RFC 5321). The receiving server performs FCrDNS (Forward-Confirmed reverse DNS): checks PTR for the connecting IP, then A record for that PTR result, and compares with EHLO. Mismatch = spam signal.
PTR records map IP addresses to FQDNs. IPv4 uses in-addr.arpa (reversed octets), IPv6 uses ip6.arpa (nibble format). Critical for: email deliverability, SSH logging, security audit trails.
AD is fundamentally built on DNS. Domain controllers register SRV records (_ldap._tcp.dc._msdcs.corp.example.com.), Kerberos relies on FQDNs for Service Principal Names (SPNs), and trust relationships use FQDN-based referrals.
Kubernetes has built-in DNS (CoreDNS) with a structured FQDN hierarchy: <service>.<namespace>.svc.cluster.local.. StatefulSet pods have individual FQDNs: pod-0.my-service.default.svc.cluster.local.
Three email authentication mechanisms — all based on DNS records at precisely defined FQDNs. SPF: TXT record at the sender's domain. DKIM: public key at selector._domainkey.example.com.. DMARC: policy at _dmarc.example.com.. Wrong FQDN = record silently ignored.
Podstawowe narzędzia do diagnostyki i rozwiązywania problemów DNS:
Essential tools for DNS diagnostics and troubleshooting:
| Narzędzie | Przeznaczenie | Platforma |
|---|---|---|
dig | Zaawansowana diagnostyka DNS (BIND9) | Linux, macOS |
nslookup | Podstawowy lookup (cross-platform) | Linux, macOS, Windows |
host | Uproszczony lookup (BIND9) | Linux, macOS |
drill | DNSSEC-aware lookup (ldns) | Linux |
kdig | Rozszerzony dig z DoT/DoH (Knot DNS) | Linux |
dog | Nowoczesny klient DNS (Rust) | Cross-platform |
whois | Informacje o rejestracji domeny/IP | Cross-platform |
| Tool | Purpose | Platform |
|---|---|---|
dig | Advanced DNS diagnostics (BIND9) | Linux, macOS |
nslookup | Basic lookup (cross-platform) | Linux, macOS, Windows |
host | Simplified lookup (BIND9) | Linux, macOS |
drill | DNSSEC-aware lookup (ldns) | Linux |
kdig | Extended dig with DoT/DoH (Knot DNS) | Linux |
dog | Modern DNS client (Rust) | Cross-platform |
whois | Domain/IP registration info | Cross-platform |
DNSSEC dodaje uwierzytelnianie i integralność do odpowiedzi DNS za pomocą kryptograficznych podpisów cyfrowych. Chroni przed cache poisoning (atak Kaminsky'ego, 2008) i atakami man-in-the-middle. DNSSEC nie szyfruje ruchu DNS — do tego służą DoT, DoH i DoQ.
DNSSEC adds authentication and integrity to DNS responses through cryptographic digital signatures. It protects against cache poisoning (Kaminsky attack, 2008) and man-in-the-middle attacks. DNSSEC does not encrypt DNS traffic — DoT, DoH, and DoQ serve that purpose.
Root KSK jest zarządzany przez ICANN w kontrolowanych key ceremonies w dwóch bezpiecznych lokalizacjach (Culpeper, VA i El Segundo, CA). Aktualny root KSK został wymieniony w październiku 2018 (algorytm RSASHA256, key tag 20326).
Adopcja DNSSEC (2025): strefa root — tak (od 2010), .com — tak (od 2011), .pl — tak. Domeny drugiego poziomu: ~5-10% .com, znacznie więcej dla niektórych ccTLD (.nl ~60%, .se ~50%, .cz ~70%).
The root KSK is managed by ICANN in controlled key ceremonies at two secure facilities (Culpeper, VA and El Segundo, CA). The current root KSK was rolled in October 2018 (algorithm RSASHA256, key tag 20326).
DNSSEC adoption (2025): root zone — yes (since 2010), .com — yes (since 2011), .pl — yes. Second-level domains: ~5-10% of .com, much higher for some ccTLDs (.nl ~60%, .se ~50%, .cz ~70%).
Domena .pl jest zarządzana przez NASK (Naukowa i Akademicka Sieć Komputerowa) — polski państwowy instytut badawczy z siedzibą w Warszawie. NASK operuje rejestrem .pl od 30 lipca 1990 roku — to jedna z najstarszych domen ccTLD w Europie.
The .pl domain is managed by NASK (Research and Academic Computer Network) — a Polish national research institute headquartered in Warsaw. NASK has operated the .pl registry since July 30, 1990 — one of the oldest ccTLDs in Europe.
| Hostname | IPv4 | IPv6 |
|---|---|---|
a-dns.pl | 192.102.225.53 | 2001:7f9::53 |
b-dns.pl | 192.195.72.53 | 2001:7f9:c::53 |
d-dns.pl | 185.159.197.48 | 2620:10a:80aa::48 |
f-dns.pl | 194.0.25.29 | 2001:678:20::29 |
h-dns.pl | 185.159.198.48 | 2620:10a:80ab::48 |
j-dns.pl | 204.61.217.4 | 2001:500:14:7004:ad::1 |
Litery c, e, g, i nie są używane (celowe luki z powodów operacyjnych/anycast). Część serwerów operowana jest przez partnerów zewnętrznych (RIPE NCC, PCH, Netnod).
Funkcjonalne: .com.pl, .biz.pl, .net.pl, .org.pl, .edu.pl, .gov.pl, .mil.pl, .info.pl, .art.pl
Regionalne (118 sztuk): .waw.pl (Warszawa), .krakow.pl, .poznan.pl, .wroc.pl, .gda.pl, .lodz.pl, .katowice.pl, .szczecin.pl, .malopolska.pl, .slask.pl, .mazowsze.pl, .pomorze.pl i inne.
NASK wspiera znaki diakrytyczne języka polskiego w nazwach domen: ą, ć, ę, ł, ń, ó, ś, ź, ż. Przykład: żółw.pl jest przechowywany jako xn--zw-8jaa.pl w DNS (Punycode).
NASK oferuje Registry Lock dla domen o wysokiej wartości — dodatkowe zabezpieczenie wymagające manualnej weryfikacji (w tym potwierdzenia tożsamości) przed zmianami delegacji, serwerów NS lub transferem domeny.
~2,6 miliona aktywnych domen .pl (2025). Rejestr WHOIS: whois.dns.pl. RDAP: rdap.dns.pl. Rejestracja wyłącznie przez autoryzowanych partnerów registrar (nie bezpośrednio w NASK).
Letters c, e, g, i are not used (intentional gaps for operational/anycast reasons). Some servers are operated by external partners (RIPE NCC, PCH, Netnod).
Functional: .com.pl, .biz.pl, .net.pl, .org.pl, .edu.pl, .gov.pl, .mil.pl, .info.pl, .art.pl
Regional (118 total): .waw.pl (Warsaw), .krakow.pl, .poznan.pl, .wroc.pl, .gda.pl, .lodz.pl, .katowice.pl, .szczecin.pl, .malopolska.pl, .slask.pl, .mazowsze.pl, .pomorze.pl and more.
NASK supports Polish diacritics in domain names: ą, ć, ę, ł, ń, ó, ś, ź, ż. Example: żółw.pl is stored as xn--zw-8jaa.pl in DNS (Punycode).
NASK offers Registry Lock for high-value domains — an additional security mechanism requiring manual verification (including identity confirmation) before changes to delegation, nameservers, or domain transfer.
~2.6 million active .pl domains (2025). WHOIS: whois.dns.pl. RDAP: rdap.dns.pl. Registration only through authorized registrar partners (not directly with NASK).
FQDN (Fully Qualified Domain Name) to pełna, jednoznaczna nazwa domenowa identyfikująca konkretny host w hierarchii DNS. Zawiera wszystkie poziomy — od nazwy hosta, przez domenę i TLD, aż po root zone oznaczony kropką na końcu. Przykład: www.example.pl.
Zwykła domena (np. „example.pl") to skrót — FQDN zawiera pełną ścieżkę w hierarchii DNS włącznie z hostem i root zone: www.example.pl. — z kropką na końcu. FQDN jest globalnie unikalny i jednoznaczny, podczas gdy krótka nazwa może być interpretowana różnie w zależności od konfiguracji search domain.
Technicznie tak — kropka reprezentuje root zone, najwyższy poziom hierarchii DNS. W praktyce przeglądarki i większość aplikacji dodają ją automatycznie. Ale w konfiguracji DNS (zone files w BIND/PowerDNS, rekordy MX/CNAME) jej brak prowadzi do poważnych błędów — serwer dopisze nazwę strefy na końcu.
PQDN (Partially Qualified Domain Name) to niepełna nazwa domenowa, np. samo „mail" zamiast „mail.example.pl." — wymaga uzupełnienia przez resolver DNS na podstawie search domain z /etc/resolv.conf. W środowiskach korporacyjnych i Kubernetes PQDN generuje dodatkowe zapytania DNS.
Nie. DNS traktuje nazwy jako case-insensitive (RFC 4343). WWW.Example.PL i www.example.pl to ten sam FQDN. Serwery DNS zachowują oryginalną wielkość liter w odpowiedziach, ale porównania zawsze wykonują bez uwzględnienia wielkości.
253 znaki w reprezentacji tekstowej (RFC 1035). Każda etykieta (segment między kropkami) max 63 znaki. W formacie wire DNS to 255 oktetów, bo każda etykieta ma bajt długości, a nazwa kończy się bajtem zerowym.
Nie. FQDN to nazwa domenowa, nie numeryczny adres. Ale adres IP może mieć przypisane FQDN przez rekord PTR (reverse DNS). Np. dig -x 8.8.8.8 zwraca dns.google.
TLD (Top-Level Domain) to domena najwyższego poziomu — np. .pl, .com, .org. Dzieli się na: ccTLD (krajowe, ISO 3166-1), gTLD (generyczne, .com/.net/.org), nowe gTLD (po 2012: .app, .dev, .xyz), sTLD (sponsorowane: .edu, .gov, .mil) i infrastrukturalne (.arpa). Zarządzanie koordynuje ICANN, rejestr prowadzi IANA.
Linux: hostname -f. Windows PowerShell: [System.Net.Dns]::GetHostEntry(""). Sprawdzenie, czy FQDN resolwuje: dig +short $(hostname -f). Konfiguracja: /etc/hostname (nazwa) + /etc/hosts (mapowanie).
DNSSEC (DNS Security Extensions) dodaje uwierzytelnianie i integralność do odpowiedzi DNS za pomocą podpisów kryptograficznych (RRSIG). Tworzy łańcuch zaufania od root zone (KSK hardcoded w resolverach) przez TLD do domeny końcowej. Chroni przed cache poisoning i MITM. Nie szyfruje ruchu — do tego służą DoT/DoH/DoQ.
13 tożsamości (A-M), ale ponad 2000 fizycznych instancji na świecie dzięki anycast routing. Limit 13 wynika z ograniczenia 512 bajtów pakietu UDP — 13 wpisów NS z glue records to maksimum jakie się mieściło. EDNS0 (RFC 6891) pozwala na większe pakiety, ale limit 13 utrzymano dla kompatybilności.
Certyfikat SSL/TLS zawiera listę dozwolonych nazw w polu SAN (Subject Alternative Name). Przeglądarka porównuje FQDN serwera z wpisami SAN — jeśli nie matchują, wyświetla błąd ERR_CERT_COMMON_NAME_INVALID. Wildcard *.example.pl matchuje subdomeny, ale nie samą domenę ani sub-subdomeny.
FQDN (Fully Qualified Domain Name) is the complete, unambiguous domain name identifying a specific host in the DNS hierarchy. It includes all levels — from hostname, through domain and TLD, to the root zone indicated by the trailing dot. Example: www.example.pl.
A regular domain (e.g., "example.pl") is shorthand — an FQDN includes the full DNS hierarchy path including hostname and root zone: www.example.pl. — with the trailing dot. An FQDN is globally unique and unambiguous, while a short name may be interpreted differently depending on search domain configuration.
Technically yes — the dot represents the root zone, the highest level of the DNS hierarchy. In practice, browsers and most applications add it automatically. But in DNS configuration (zone files in BIND/PowerDNS, MX/CNAME records), omitting it causes serious errors — the server appends the zone name.
PQDN (Partially Qualified Domain Name) is an incomplete domain name, e.g., just "mail" instead of "mail.example.pl." — it requires completion by the DNS resolver using search domains from /etc/resolv.conf. In corporate and Kubernetes environments, PQDNs generate extra DNS queries.
No. DNS treats names as case-insensitive (RFC 4343). WWW.Example.PL and www.example.pl are the same FQDN. DNS servers preserve original casing in responses but always compare case-insensitively.
253 characters in text representation (RFC 1035). Each label (segment between dots) max 63 characters. In DNS wire format it's 255 octets, because each label has a length byte prefix and the name ends with a zero byte.
No. An FQDN is a domain name, not a numeric address. But an IP can have an associated FQDN via a PTR record (reverse DNS). E.g., dig -x 8.8.8.8 returns dns.google.
TLD (Top-Level Domain) is the highest-level domain — e.g., .pl, .com, .org. Categories: ccTLD (country code, ISO 3166-1), gTLD (generic, .com/.net/.org), new gTLDs (post-2012: .app, .dev, .xyz), sTLD (sponsored: .edu, .gov, .mil), and infrastructure (.arpa). Coordinated by ICANN, registry maintained by IANA.
Linux: hostname -f. Windows PowerShell: [System.Net.Dns]::GetHostEntry(""). Verify resolution: dig +short $(hostname -f). Configuration: /etc/hostname (name) + /etc/hosts (mapping).
DNSSEC (DNS Security Extensions) adds authentication and integrity to DNS responses via cryptographic signatures (RRSIG). Creates a chain of trust from the root zone (KSK hardcoded in resolvers) through TLDs to the target domain. Protects against cache poisoning and MITM. Does not encrypt traffic — DoT/DoH/DoQ serve that purpose.
13 identities (A-M), but over 2,000 physical instances worldwide via anycast routing. The 13 limit comes from the 512-byte UDP packet constraint — 13 NS entries with glue records was the maximum that fit. EDNS0 (RFC 6891) allows larger packets, but the 13 limit is maintained for compatibility.
An SSL/TLS certificate contains allowed names in the SAN (Subject Alternative Name) field. The browser compares the server's FQDN against SAN entries — if they don't match, it shows ERR_CERT_COMMON_NAME_INVALID. Wildcard *.example.pl matches subdomains but not the bare domain or sub-subdomains.