Defaults.Exposed › Nastavení › DNSSEC

Jak nastavit DNSSEC na GoDaddy

Zapněte DNSSEC na GoDaddy jediným přepínačem, aby nikdo nemohl falšovat vaše DNS odpovědi a unést vaši doménu.

Co to znamená pro vaši firmu

Když někdo navštíví váš web nebo vám pošle e-mail, počítač se nejprve dotáže systému DNS na správnou adresu. Tyto odpovědi normálně cestují bez podpisu, takže útočník schopný manipulovat s vyhledáváním může potichu přesměrovat vaše návštěvníky na falešný web nebo přesměrovat vaši e-poštu na vlastní server — zatímco vaše skutečná doména stále svítí v adresním řádku.

DNSSEC to zastaví. Kryptograficky podepisuje vaše DNS odpovědi, takže každý, kdo vás vyhledá, může dokázat, že odpověď skutečně pochází od vás a nebyla po cestě změněna. Jednoduše řečeno: blokuje únos domény a otrávení cache — útoky, které obrátí vaši vlastní doménu proti zákazníkům. Je zdarma a na GoDaddy je to obvykle jediný přepínač.

Jak DNSSEC funguje (a proč je GoDaddy snadný)

DNSSEC má dvě poloviny: DNS hostitel podepisuje vaše záznamy a zveřejňuje klíče (DNSKEY) plus malý otisk nazvaný DS záznam, a registrátor uloží tento DS záznam do nadřazené zóny, aby zbytek internetu mohl podpisům důvěřovat.

Když je GoDaddy zároveň vaším registrátorem i DNS hostitelem — což platí pro většinu domén GoDaddy používajících GoDaddy jmenné servery — GoDaddy udělá obě poloviny za vás. Přepnete jeden přepínač; GoDaddy vygeneruje klíče a automaticky uloží DS záznam do nadřazené zóny. Žádné kopírování hodnot mezi systémy.

Skutečné riziko — kdy to není tak jednoduché

DNSSEC může znepřístupnit vaši doménu, pokud je špatně nakonfigurován. Nebezpečí vzniká hlavně tehdy, když jsou registrátor a DNS hostitel různé společnosti, nebo při přesunu DNS hostitele:

• Pokud je vaše doména registrována u GoDaddy, ale DNS je hostován jinde, jednoklikový přepínač GoDaddy nestačí — musíte zapnout podepisování u svého skutečného DNS hostitele a ručně přidat DS záznam do GoDaddy.
• Pokud někdy přesunete DNS od GoDaddy, nejprve vypněte DNSSEC. Zbývající DS záznam, který již neodpovídá žádnému aktivnímu podpisujícímu hostiteli, způsobí selhání vyhledávání a doména bude tmavá.

Pokud je GoDaddy zároveň registrátorem i DNS hostitelem, níže uvedený jednoklikový postup je bezpečný.

Ověřte, že GoDaddy spravuje vaše DNS

Toto je relevantní pouze tehdy, pokud GoDaddy skutečně odpovídá na DNS pro vaši doménu. Zkontrolujte, že vaše doména používá GoDaddy jmenné servery: v účtu GoDaddy otevřete doménu a podívejte se na nastavení Nameservers. Pokud zobrazuje vlastní jmenné servery GoDaddy, je jednoklikový postup správnou cestou. Pokud jmenné servery ukazují na jiného poskytovatele (například samostatný DNS hostitel), aktivujte místo toho DNSSEC u tohoto poskytovatele a pak přidejte DS záznam, který vám poskytne, do GoDaddy.

Postup na GoDaddy (jednoklikový, GoDaddy je registrátor i DNS hostitel)

1. Přihlaste se do svého účtu GoDaddy.
2. Přejděte do My Products (nebo Domain Portfolio).
3. Najděte svou doménu a otevřete její stránku správy — klikněte na název domény nebo na menu se třemi tečkami a zvolte Manage DNS / Domain Settings.
4. Přejděte na sekci Additional Settings (v některých účtech se zobrazuje pod DNS Management).
5. Najděte DNSSEC a klikněte na Manage nebo přepínač.
6. Přepněte DNSSEC na zapnuto.
7. Potvrďte. GoDaddy vygeneruje klíče, podepíše vaši zónu a automaticky zveřejní DS záznam do nadřazené zóny — není třeba nic kopírovat jinam.

Postup, když je váš DNS hostován jinde

Pokud je GoDaddy pouze vaším registrátorem a jiná společnost hostuje vaše DNS:

1. Nejprve zapněte DNSSEC u svého DNS hostitele a zkopírujte DS záznam, který vytvoří (budete potřebovat Key Tag, Algorithm, Digest Type a Digest).
2. V GoDaddy otevřete doménu a najděte sekci DNSSEC pod Additional Settings.
3. Zvolte přidat DS záznam a zadejte přesné hodnoty od vašeho DNS hostitele.
4. Uložte. DS záznam je nyní uložen v nadřazené zóně, čímž je řetězec dokončen.

Časté chyby na GoDaddy

• Nejprve zkontrolujte, kdo hostuje vaše DNS. Jednoduchý jednoklikový přepínač udělá celou práci pouze tehdy, když je GoDaddy zároveň registrátorem i DNS hostitelem. Pokud DNS žije jinde, přepínač sám nestačí.
• Nezapínejte na dvou místech. Pokud váš DNS hostitel již zónu podepisuje, pouze přidáte jeho DS záznam do GoDaddy — nezapínáte zároveň vlastní podepisování GoDaddy, nebo budete mít dva konfliktní nastavení.
• Při ručním zadávání zkopírujte DS hodnoty přesně. Jediný chybný znak v Digest přeruší řetězec a může znepřístupnit doménu.
• Před přesunem DNS vypněte DNSSEC. Migrace na nového DNS hostitele se starým DS záznamem na místě je klasický způsob, jak doménu znepřístupnit.
• Dejte tomu čas. Změny mohou trvat od minut až po den, než se plně propagují.

Ověření, že vše funguje

Jakmile je DNSSEC zapnuto (a jakýkoli DS záznam je na místě), spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce vám řekne, zda je DNSSEC správně zveřejněn a důvěryhodný pro vaši doménu.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.