Defaults.Exposed › Nastavení › DNSSEC

Jak nastavit DNSSEC na Cloudflare

Zapněte DNSSEC v Cloudflare a přidejte DS záznam u svého registrátora, aby nikdo nemohl falšovat vaše DNS odpovědi.

Co to znamená pro vaši firmu

Když někdo zadá vaši doménu nebo vám pošle e-mail, počítač se dotáže systému DNS na správnou adresu. Normálně tyto odpovědi cestují bez podpisu, což znamená, že útočník schopný je manipulovat může potichu přesměrovat vaše návštěvníky na falešný web nebo přesměrovat vaši e-poštu na vlastní server. Zákazníci přitom vidí vaši skutečnou doménu v adresním řádku po celou dobu.

DNSSEC tuto mezeru uzavírá. Kryptograficky podepisuje vaše DNS odpovědi, takže osoba, která vás vyhledává, může dokázat, že odpověď skutečně pochází od vás a nebyla po cestě změněna. Jednoduše řečeno: brání útočníkům v únosu vaší domény nebo otrávení vyhledávání, která lidi přivádějí k vám. Je zdarma a je to jedna z nejsilnějších ochrany, kterou můžete zapnout pro základ, na němž vše ostatní stojí.

Jak DNSSEC vlastně funguje (aby kroky dávaly smysl)

DNSSEC má dvě poloviny žijící na dvou místech:

• Váš DNS hostitel (Cloudflare) podepisuje vaše záznamy a zveřejňuje veřejné klíče (DNSKEY) plus jejich malý otisk nazvaný DS záznam.
• Váš registrátor (kde jste doménu koupili a obnovujete ji) zveřejní tento DS záznam do nadřazené zóny (například .com).

DS záznam u registrátora je článek v řetězci důvěry. Cloudflare může podepisovat celý den, ale dokud odpovídající DS záznam není uložen u vašeho registrátora, širší internet nemá podepsaný způsob, jak těmto podpisům důvěřovat. Takže úkol jsou dva kroky: zapnout to v Cloudflare, pak předat DS záznam registrátorovi.

Skutečné riziko — postupujte opatrně

DNSSEC může celou vaši doménu znepřístupnit, pokud se udělá špatně. Dvě situace, kdy se to stane:

• Zveřejnění DS záznamu u registrátora, který neodpovídá tomu, čím váš DNS hostitel skutečně podepisuje.
• Přesun DNS na jiného hostitele (nebo vypnutí Cloudflare) bez předchozího odstranění DS záznamu u registrátora — starý DS záznam stále vyžaduje podpisy, které již neexistují, a vyhledávání začnou selhávat.

Ani jedno není nebezpečné, pokud budete postupovat podle níže uvedeného postupu v pořadí a nikdy neodstraníte DS záznam u registrátora, dokud je Cloudflare stále vaším podpisujícím hostitelem. Pokud někdy plánujete přejít od Cloudflare, nejprve deaktivujte DNSSEC a odstraňte DS záznam u registrátora, pak proveďte přesun.

Ověřte, že Cloudflare spravuje vaše DNS

Toto funguje pouze tehdy, pokud Cloudflare odpovídá na DNS dotazy pro vaši doménu. Cloudflare je váš DNS hostitel, ne nutně společnost, u které jste doménu koupili. Cloudflare DNS je aktivní pouze tehdy, když jmenné servery vaší domény ukazují na Cloudflare jmenné servery zobrazené v dashboardu. Otevřete doménu v Cloudflare a zkontrolujte stránku Overview, zda je Cloudflare aktivní. Pokud jmenné servery ukazují jinam, aktivujte DNSSEC u toho poskytovatele, který vaše DNS skutečně spravuje.

Postup na Cloudflare

1. Přihlaste se do Cloudflare a vyberte svou doménu.
2. V levém menu přejděte do DNS, pak Settings (starší dashboardy zobrazují sekci DNSSEC přímo pod DNS).
3. Najděte DNSSEC a klikněte na Enable DNSSEC.
4. Cloudflare zobrazí panel hodnot — důležitý je DS záznam. Obvykle uvidíte pole jako Key Tag, Algorithm, Digest Type, Digest a hotový jednořádkový DS záznam. Nechte tento panel otevřený; tyto hodnoty musíte zkopírovat ke svému registrátorovi.
5. Nyní se přihlaste ke svému registrátorovi (společnost, u které doménu obnovujete — může, ale nemusí být Cloudflare).
6. Najděte sekci DNSSEC nebo DS záznamu pro vaši doménu u registrátora a přidejte nový DS záznam s přesnými hodnotami, které vám Cloudflare poskytl:
   • Key Tag — číslo, které Cloudflare zobrazuje.
   • Algorithm — obvykle 13 (ECDSA P-256 SHA-256).
   • Digest Type — obvykle 2 (SHA-256).
   • Digest — dlouhý hexadecimální řetězec, zkopírovaný přesně.
7. Uložte u registrátora. Pokud vám registrátor umožní vložit jeden kombinovaný řádek DS záznamu místo samostatných polí, použijte celý DS řádek zobrazený Cloudflare.
8. Zpět v Cloudflare — jakmile registrátor DS záznam přijme, stav DNSSEC v Cloudflare se přepne na active (může to chvíli trvat).

Časté chyby na Cloudflare

• Dva systémy, ne jeden. Pouhé zapnutí DNSSEC v Cloudflare samo o sobě nic nezmůže — DS záznam musí být také uložen u vašeho registrátora. Lidé se zastaví po kroku 3 a diví se, proč se nikdy neaktivuje.
• Zkopírujte digest přesně. Jediný chybný nebo chybějící znak v Digest znamená, že DS záznam registrátora nebude odpovídat podpisům Cloudflare — což je přesně ta chybná konfigurace, která znepřístupní doménu. Kopírujte a vkládejte; nikdy nepřepisujte ručně.
• Shodujte čísla algoritmu a digest-type. Pokud vás registrátor žádá o tyto hodnoty samostatně, použijte hodnoty zobrazené Cloudflare — nehadujte.
• Pokud je Cloudflare také váš registrátor, krok DS je zpracován interně a možná neuvidíte samostatný formulář registrátora — ale potvrďte, že DNSSEC zobrazuje stav active, než budete předpokládat, že je hotovo.
• Nikdy neodstraňujte DS záznam, dokud Cloudflare stále podepisuje. A pokud někdy migrujete DNS od Cloudflare, deaktivujte DNSSEC a vymažte DS záznam u registrátora před přesunem.
• Dejte tomu čas. Změny DNSSEC mohou trvat od několika minut až po den, než se plně propagují a zobrazí jako aktivní.

Ověření, že vše funguje

Jakmile DNSSEC zobrazuje stav active v Cloudflare a DS záznam je na místě u vašeho registrátora, spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce vám řekne, zda je DNSSEC správně zveřejněn a důvěryhodný pro vaši doménu.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.