Defaults.Exposed › Opsætning › DNSSEC

Sådan opsætter du DNSSEC på Cloudflare

Slå DNSSEC til i Cloudflare, og tilføj DS-recorden hos din registrar, så ingen kan forfalske dine DNS-svar.

Hvad det betyder for din virksomhed

Når nogen indtaster dit domæne eller sender dig e-mail, spørger deres computer DNS-systemet om den rigtige adresse. Normalt rejser disse svar usignerede, hvilket betyder, at en angriber, der kan manipulere med dem, lydløst kan pege dine besøgende mod et falsk website eller omdirigere din e-mail til sin egen server. Dine kunder ser dit rigtige domæne i adresselinjen hele tiden.

DNSSEC lukker det hul. Det kryptografisk signerer dine DNS-svar, så den, der slår dig op, kan bevise, at svaret virkelig kom fra dig og ikke blev ændret undervejs. I klart sprog: det forhindrer kriminelle i at kapre dit domæne eller forgive de opslag, der peger folk mod dig. Det er gratis, og det er en af de stærkeste beskyttelser, du kan slå til for det fundament, alt andet bygger på.

Sådan fungerer DNSSEC (så trinene giver mening)

DNSSEC har to halvdele, der bor to steder:

• Din DNS-host (Cloudflare) signerer dine records og publicerer de offentlige nøgler (en DNSKEY) plus et lille fingeraftryk af dem kaldet en DS-record.
• Din registrar (det sted, du fornyede domænet) publicerer den DS-record op i den overordnede zone (f.eks. .com).

DS-recorden hos registraren er leddet i tillidskæden. Cloudflare kan signere den live lang dag, men indtil den matchende DS-record er indleveret hos din registrar, har det øvrige internet ingen signeret måde at stole på disse signaturer. Opgaven er altså to trin: slå det til i Cloudflare, og aflever derefter DS-recorden til din registrar.

Den reelle risiko — gør dette omhyggeligt

DNSSEC kan tage hele dit domæne offline, hvis det gøres forkert. Det sker på to måder:

• Du publicerer en DS-record hos registraren, der ikke matcher det, din DNS-host rent faktisk signerer med.
• Du flytter dit DNS til en anden host (eller slår Cloudflare fra) uden først at fjerne DS-recorden hos registraren — den gamle DS-record kræver fortsat signaturer, der ikke længere eksisterer, og opslag begynder at fejle.

Ingen af delene er farlige, hvis du følger flowet herunder i rækkefølge og aldrig sletter DS-recorden hos registraren, mens Cloudflare stadig er din signerende host. Planlægger du nogensinde at forlade Cloudflare, deaktiverer du DNSSEC og fjerner DS-recorden hos registraren først, derefter flytter du.

Bekræft at Cloudflare kører dit DNS

Dette virker kun, hvis Cloudflare svarer på DNS for dit domæne. Cloudflare er din DNS-host, ikke nødvendigvis det firma, du købte domænet hos. Cloudflares DNS er kun aktiv, når dit domænes nameservers peger på de Cloudflare-nameservers, der vises i dit dashboard. Åbn dit domæne i Cloudflare, og tjek siden Overview for at bekræfte, at Cloudflare er aktivt. Peger dine nameservers et andet sted hen, skal du aktivere DNSSEC hos den udbyder, der kører dit DNS i stedet.

Trin for trin på Cloudflare

1. Log ind på Cloudflare, og vælg dit domæne.
2. Gå til DNS, derefter Settings i menuen til venstre (ældre dashboards viser et DNSSEC-afsnit direkte under DNS).
3. Find DNSSEC, og klik Enable DNSSEC.
4. Cloudflare viser et panel med værdier — den vigtigste er DS-recorden. Du ser typisk felter som Key Tag, Algorithm, Digest Type, Digest og en færdiglavet enkeltlinje-DS-record. Lad dette panel stå åbent; du skal kopiere disse til din registrar.
5. Log nu ind hos din registrar (det firma, du fornyer domænet hos — det kan være eller ikke være Cloudflare).
6. Find DNSSEC- eller DS-record-sektionen for dit domæne hos registraren, og tilføj en ny DS-record med de præcise værdier, Cloudflare gav dig:
   • Key Tag — det tal, Cloudflare viser.
   • Algorithm — som regel 13 (ECDSA P-256 SHA-256).
   • Digest Type — som regel 2 (SHA-256).
   • Digest — den lange hexadecimale streng, kopieret nøjagtigt.
7. Gem hos registraren. Lader din registrar dig indsætte en enkelt kombineret DS-record-linje i stedet for separate felter, bruger du den fulde DS-linje, Cloudflare viste.
8. Tilbage i Cloudflare vil DNSSEC-status, når registraren har accepteret DS-recorden, skifte til active (det kan tage lidt tid at bekræfte).

Fælder folk typisk falder i på Cloudflare

• To systemer, ikke ét. At aktivere DNSSEC i Cloudflare alene gør ingen forskel i sig selv — DS-recorden skal også indleveres hos din registrar. Folk stopper efter trin 3 og undrer sig over, at det aldrig bliver aktivt.
• Kopiér digest nøjagtigt. Et enkelt forkert eller manglende tegn i Digest betyder, at registrarens DS-record ikke matcher Cloudflares signaturer — præcis den fejlkonfiguration, der tager et domæne offline. Kopiér og indsæt; skriv det aldrig om manuelt.
• Match algorithm- og digest-type-numre. Beder din registrar om disse separat, bruger du de værdier, Cloudflare viser — gæt ikke.
• Hvis Cloudflare også er din registrar, håndteres DS-trinnet internt, og du ser måske ikke en separat registrar-formular — men bekræft, at DNSSEC vises som aktivt, inden du antager, at det er gjort.
• Fjern aldrig DS-recorden, mens Cloudflare stadig signerer. Og planlægger du nogensinde at migrere DNS væk fra Cloudflare, deaktiverer du DNSSEC og rydder DS-recorden hos registraren, inden du flytter.
• Giv det tid. DNSSEC-ændringer kan tage fra få minutter op til en dag at propagere fuldt ud og vises som aktive.

Verificer at det virkede

Når DNSSEC vises som aktivt i Cloudflare, og DS-recorden er på plads hos din registrar, kan du køre den gratis kontrol på dette site. Den fortæller dig på klart sprog, om DNSSEC er korrekt publiceret og betroet for dit domæne.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.