Defaults.Exposed › Nastavení › DNSSEC

Jak nastavit DNSSEC na Namecheap

Aktivujte DNSSEC na Namecheap, aby nikdo nemohl falšovat vaše DNS odpovědi a přesměrovat vaše návštěvníky nebo e-mail.

Co to znamená pro vaši firmu

Pokaždé, když někdo otevře váš web nebo vám pošle e-mail, počítač se ptá systému DNS, kde vás najde. Tyto odpovědi obvykle cestují bez podpisu, takže útočník schopný zasahovat do vyhledávání může potichu přesměrovat vaše návštěvníky na padělaný web nebo přesměrovat vaši e-poštu na vlastní server — to vše, zatímco vaše skutečná doména stále svítí v adresním řádku.

DNSSEC tuto mezeru uzavírá. Kryptograficky podepisuje vaše DNS odpovědi, takže každý, kdo vás vyhledá, může potvrdit, že odpověď skutečně pochází od vás a nebyla po cestě manipulována. Jednoduše řečeno: brání únosu domény a otrávení cache — útokům, které zneužívají vaši vlastní doménu proti vašim zákazníkům. Je zdarma a pokud Namecheap spravuje vaše DNS, je to téměř jedno kliknutí.

Jak DNSSEC funguje (a proč může být Namecheap jednoduchý)

DNSSEC má dvě poloviny: DNS hostitel podepisuje vaše záznamy a zveřejňuje klíče (DNSKEY) plus malý otisk nazvaný DS záznam, a registrátor uloží tento DS záznam do nadřazené zóny, aby zbytek internetu podpisům důvěřoval.

Když je Namecheap zároveň vaším registrátorem i DNS hostitelem — tedy vaše doména používá Namecheap BasicDNS / PremiumDNS — Namecheap zvládne obě poloviny jediným přepínačem. Podepíše zónu a automaticky zveřejní DS záznam do nadřazené zóny. Když je váš DNS hostován jinde, místo toho zkopírujete DS záznam od tohoto hostitele do Namecheap ručně.

Skutečné riziko — postupujte v pořadí

DNSSEC může znepřístupnit vaši doménu, pokud je nastaven špatně. Dvě situace, kdy se to stane:

• DS záznam uložený u registrátora, který neodpovídá tomu, čím DNS hostitel skutečně podepisuje.
• Přesun DNS na jiného hostitele (nebo vypnutí podepisování) bez předchozího odstranění DS záznamu — starý DS záznam stále vyžaduje podpisy, které již neexistují, a vyhledávání selžou.

Takže: pokud někdy přesunete DNS od Namecheap nebo z Namecheapových jmenných serverů, nejprve deaktivujte DNSSEC a vymažte DS záznam, pak proveďte přesun. Postupujte podle níže uvedeného postupu v pořadí a budete v bezpečí.

Ověřte, že Namecheap spravuje vaše DNS

Zkontrolujte, co odpovídá na DNS pro vaši doménu. V účtu Namecheap otevřete doménu a podívejte se na nastavení Nameservers na záložce Domain:

• Pokud je nastaveno na Namecheap BasicDNS nebo Namecheap Web Hosting DNS / PremiumDNS, Namecheap hostuje vaše DNS — použijte jednoklikový postup.
• Pokud zobrazuje Custom DNS ukazující na jiného poskytovatele, tento poskytovatel hostuje vaše DNS — nejprve aktivujte DNSSEC tam, pak přidejte DS záznam, který vám poskytne, do Namecheap.

Postup na Namecheap (Namecheap je registrátor i DNS hostitel)

1. Přihlaste se do Namecheap.
2. Přejděte do Domain List a klikněte na Manage u vaší domény.
3. Otevřete záložku Advanced DNS.
4. Přejděte na sekci DNSSEC.
5. Přepněte DNSSEC na zapnuto.
6. Potvrďte. S vlastním DNS Namecheap Namecheap podepíše zónu a automaticky zveřejní DS záznam do nadřazené zóny — není třeba nic kopírovat jinam.

Postup, když je váš DNS hostován jinde

Pokud je Namecheap vaším registrátorem, ale jiná společnost hostuje vaše DNS:

1. Nejprve aktivujte DNSSEC u svého DNS hostitele a zkopírujte hodnoty DS záznamu, které vytvoří — typicky Key Tag, Algorithm, Digest Type a Digest.
2. V Namecheap otevřete doménu a přejděte na záložku Advanced DNS, pak do sekce DNSSEC.
3. Přidejte DS záznam a zadejte přesné hodnoty od vašeho DNS hostitele do odpovídajících polí.
4. Uložte. DS záznam je nyní uložen v nadřazené zóně, čímž je řetězec důvěry dokončen.

Časté chyby na Namecheap

• Přepínač udělá vše pouze tehdy, když Namecheap také hostuje vaše DNS. Na Custom DNS přepnutí samotné nestačí — musíte vložit DS záznam od svého skutečného DNS hostitele.
• Nepodepisujte dvakrát. Pokud váš externí DNS hostitel již zónu podepisuje, pouze zadáte jeho DS záznam do Namecheap — nezapínáte zároveň vlastní podepisování Namecheap.
• Zkopírujte DS hodnoty znak po znaku. Jediná chybná číslice v Digest znamená, že DS nebude odpovídat podpisům — což je přesně to, co způsobí znepřístupnění domény. Vkládejte, nikdy nepřepisujte ručně.
• Shodujte čísla algoritmu a digest-type s tím, co hlásí váš DNS hostitel — nehadujte.
• Před změnou jmenných serverů deaktivujte DNSSEC. Přepnutí DNS hostitele se starým DS záznamem na místě je klasický způsob, jak doménu znepřístupnit.
• Dejte tomu čas. Změny mohou trvat od minut až po den, než se plně propagují.

Ověření, že vše funguje

Jakmile je DNSSEC zapnuto (a jakýkoli DS záznam je na místě), spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce vám řekne, zda je DNSSEC správně zveřejněn a důvěryhodný pro vaši doménu.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.