Defaults.Exposed › الإعداد › DNSSEC

كيفية إعداد DNSSEC على Cloudflare

فعّل DNSSEC في Cloudflare وأضف سجل DS لدى مُسجّل نطاقك كي لا يتمكّن أحد من تزوير إجابات DNS الخاصة بك.

لماذا يهمّ هذا عملك

حين يكتب أحدهم نطاقك أو يُرسل إليك بريداً، يسأل حاسوبه نظام DNS عن العنوان الصحيح. عادةً تسري تلك الإجابات دون توقيع، ما يعني أن مهاجماً قادراً على العبث بها يمكنه بهدوء توجيه زوّارك إلى موقع مزيّف أو إعادة توجيه بريدك إلى خادمه الخاص. ويرى عملاؤك نطاقك الحقيقي في شريط العنوان طوال الوقت.

يُغلق DNSSEC هذه الثغرة. فهو يوقّع إجابات DNS الخاصة بك تشفيرياً، بحيث يستطيع من يبحث عنك أن يُثبت أن الإجابة جاءت منك فعلاً ولم تُعدَّل في الطريق. بعبارة بسيطة: يوقف المجرمين عن اختطاف نطاقك أو تسميم عمليات البحث التي توجّه الناس إليك. إنه مجاني، وأحد أقوى الحمايات التي يمكنك تشغيلها للأساس الذي يقوم فوقه كل شيء آخر.

كيف يعمل DNSSEC فعلاً (لكي تصبح الخطوات مفهومة)

لدى DNSSEC نصفان يعيشان في مكانين:

• يوقّع مضيف DNS الخاص بك (Cloudflare) سجلاتك وينشر المفاتيح العامة (سجل DNSKEY) إضافةً إلى بصمة صغيرة منها تُسمّى سجل DS.
• ينشر مُسجّل نطاقك (حيث اشتريت النطاق وتجدّده) ذلك سجل DS صعوداً إلى المنطقة الأم (مثلاً .com).

سجل DS لدى المُسجّل هو الحلقة في سلسلة الثقة. يمكن لـ Cloudflare أن يوقّع طوال اليوم، لكن إلى أن يُودَع سجل DS المطابق لدى مُسجّل نطاقك، لا يملك بقية الإنترنت طريقة موقّعة للوثوق بتلك التواقيع. فالمهمة إذن خطوتان: فعّله في Cloudflare، ثم سلّم سجل DS إلى مُسجّل نطاقك.

الخطر الحقيقي — أنجِز هذا بعناية

يمكن لـ DNSSEC أن يُسقط نطاقك بالكامل إن أُنجز بشكل خاطئ. والطريقتان اللتان يحدث بهما ذلك:

• نشر سجل DS لدى المُسجّل لا يطابق ما يوقّع به مضيف DNS الخاص بك فعلاً.
• نقل DNS الخاص بك إلى مضيف مختلف (أو إيقاف Cloudflare) دون إزالة سجل DS لدى المُسجّل أولاً — فسجل DS القديم يظل يطالب بتواقيع لم تعد موجودة، فتبدأ عمليات البحث بالفشل.

ولا خطر في أيٍّ منهما إن اتبعت التسلسل أدناه بالترتيب ولم تحذف سجل DS لدى المُسجّل أبداً ما دام Cloudflare مضيف التوقيع. وإن خططت يوماً للابتعاد عن Cloudflare، فـ عطّل DNSSEC وأزِل سجل DS لدى المُسجّل أولاً، ثم انتقل.

تأكّد أن Cloudflare هو من يُدير DNS الخاص بك

لا ينجح هذا إلا إذا كان Cloudflare هو من يُجيب عن استعلامات DNS لنطاقك. فـ Cloudflare هو مضيف DNS الخاص بك، وليس بالضرورة الشركة التي اشتريت منها النطاق. ولا يكون DNS الخاص بـ Cloudflare حيّاً إلا حين تشير خوادم الأسماء (nameservers) لنطاقك إلى خوادم أسماء Cloudflare الظاهرة في لوحة التحكم. افتح نطاقك في Cloudflare وتحقّق من صفحة Overview للتأكّد أن Cloudflare نشط. إن كانت خوادم أسمائك تشير إلى مكان آخر، فعطّل/فعّل DNSSEC لدى المزوّد الذي يُدير DNS فعلياً بدلاً من ذلك.

خطوة بخطوة على Cloudflare

1. سجّل الدخول إلى Cloudflare واختر نطاقك.
2. من القائمة الجانبية، انتقل إلى DNS، ثم Settings (تُظهر لوحات التحكم الأقدم قسم DNSSEC مباشرةً تحت DNS).
3. ابحث عن DNSSEC وانقر Enable DNSSEC.
4. سيعرض Cloudflare لوحة من القيم — الأهم فيها هو سجل DS. ستجد عادةً حقولاً مثل Key Tag و Algorithm و Digest Type و Digest، وسجل DS record جاهزاً على سطر واحد. اترك هذه اللوحة مفتوحة؛ فأنت بحاجة إلى نسخ هذه القيم إلى مُسجّل نطاقك.
5. الآن سجّل الدخول إلى مُسجّل نطاقك (الشركة التي تجدّد النطاق معها — قد تكون Cloudflare أو لا).
6. ابحث عن قسم DNSSEC أو سجل DS لنطاقك لدى المُسجّل وأضِف سجل DS جديداً باستخدام القيم نفسها التي أعطاك إياها Cloudflare بالضبط:
   • Key Tag — الرقم الذي يُظهره Cloudflare.
   • Algorithm — عادةً 13 (ECDSA P-256 SHA-256).
   • Digest Type — عادةً 2 (SHA-256).
   • Digest — السلسلة السداسية العشرية الطويلة، منسوخةً بالضبط.
7. احفظ لدى المُسجّل. إن سمح لك مُسجّلك بلصق سطر DS مجمّع واحد بدلاً من حقول منفصلة، فاستخدم سطر DS الكامل الذي عرضه Cloudflare.
8. عُد إلى Cloudflare، وبمجرد قبول المُسجّل لسجل DS، ستنتقل حالة DNSSEC في Cloudflare إلى active (قد يستغرق تأكيد ذلك بعض الوقت).

أخطاء يقع فيها الناس مع Cloudflare

• نظامان، لا واحد. تفعيل DNSSEC في Cloudflare وحده لا يفعل شيئاً بمفرده — فيجب أيضاً إيداع سجل DS لدى مُسجّل نطاقك. يتوقّف الناس بعد الخطوة 3 ويتساءلون لماذا لا يصبح نشطاً أبداً.
• انسخ الـ Digest بالضبط. حرف واحد خاطئ أو ناقص في الـ Digest يعني أن سجل DS لدى المُسجّل لن يطابق تواقيع Cloudflare، وهذا تحديداً هو الخطأ الذي يُسقط نطاقاً. انسخ والصق؛ ولا تُعِد كتابته أبداً.
• طابِق رقمي الـ algorithm و digest-type. إن طلبهما مُسجّلك على حدة، فاستخدم القيم التي يُظهرها Cloudflare — لا تُخمّن.
• إن كان Cloudflare هو أيضاً مُسجّل نطاقك، فإن خطوة DS تُعالَج داخلياً وقد لا ترى نموذج مُسجّل منفصلاً — لكن تأكّد أن DNSSEC يظهر نشطاً قبل افتراض أن الأمر تمّ.
• لا تُزِل سجل DS أبداً ما دام Cloudflare يوقّع. وإن هاجرت DNS بعيداً عن Cloudflare يوماً، فعطّل DNSSEC وامحُ سجل DS لدى المُسجّل قبل النقل.
• امنحه وقتاً. قد تستغرق تغييرات DNSSEC من بضع دقائق إلى يوم كامل حتى تنتشر بالكامل وتظهر نشطة.

تحقّق من نجاح العملية

بمجرد أن يظهر DNSSEC نشطاً في Cloudflare ويكون سجل DS موجوداً لدى مُسجّل نطاقك، شغّل الفحص المجاني على هذا الموقع. سيُخبرك بلغة واضحة ما إذا كان DNSSEC منشوراً وموثوقاً بشكل صحيح لنطاقك.

انتهيت؟ افحص نطاقك مجانًا لتأكيد نجاح العملية — ولمعرفة تقييمك الكامل عبر الفحوص الـ34 جميعها.