Defaults.Exposed › Opsætning › DNSSEC

Sådan opsætter du DNSSEC på GoDaddy

Slå DNSSEC til i GoDaddy med ét enkelt skift, så ingen kan forfalske dine DNS-svar og kapre dit domæne.

Hvad det betyder for din virksomhed

Når nogen besøger dit website eller sender dig e-mail, spørger deres computer DNS-systemet om den rigtige adresse. Disse svar rejser normalt usignerede, så en angriber, der kan manipulere med opslaget, lydløst kan sende dine besøgende til et falsk site eller omdirigere din e-mail til sin egen server — mens dit rigtige domæne fortsat vises i adresselinjen.

DNSSEC stopper det. Det kryptografisk signerer dine DNS-svar, så alle, der slår dig op, kan bevise, at svaret virkelig kom fra dig og ikke blev ændret undervejs. I klart sprog: det blokerer domænekapring og cache-forgiftning — de angreb, der gør dit eget domæne til et våben mod dine kunder. Det er gratis, og på GoDaddy er det som regel ét enkelt skift.

Sådan fungerer DNSSEC (og hvorfor GoDaddy er enkelt her)

DNSSEC har to halvdele: DNS-hosten signerer dine records og publicerer nøglerne (en DNSKEY) plus et lille fingeraftryk kaldet en DS-record, og registraren indleverer den DS-record i den overordnede zone, så resten af internettet kan stole på signaturer.

Når GoDaddy er både din registrar og din DNS-host — hvilket er tilfældet for de fleste GoDaddy-domæner, der bruger GoDaddy-nameservers — klarer GoDaddy begge halvdele for dig. Du slår ét skift om; GoDaddy genererer nøglerne og indleverer DS-recorden op i kæden automatisk. Ingen kopiering af værdier mellem systemer.

Den reelle risiko — når det ikke er så enkelt

DNSSEC kan tage dit domæne offline, hvis det er fejlkonfigureret. Faren opstår primært, når registraren og DNS-hosten er forskellige virksomheder, eller når du skifter DNS-host:

• Er dit domæne registreret hos GoDaddy, men dit DNS hostet et andet sted, gælder GoDaddys ét-klik-skift ikke — du skal aktivere signering hos din reelle DNS-host og tilføje DS-recorden til GoDaddy manuelt.
• Skal du nogensinde flytte dit DNS væk fra GoDaddy, slår du DNSSEC fra først. En tilbageværende DS-record, der ikke længere matcher en aktiv signerende host, vil få opslag til at fejle og domænet til at gå mørkt.

Er GoDaddy både registrar og DNS-host, er ét-klik-flowet herunder sikkert.

Bekræft at GoDaddy kører dit DNS

Dette er kun relevant, hvis GoDaddy rent faktisk svarer på DNS for dit domæne. Tjek, at dit domæne bruger GoDaddy-nameservers: åbn domænet i din GoDaddy-konto, og se på dets Nameservers-indstilling. Viser den GoDaddys egne nameservers, er ét-klik-skiftet den rigtige vej. Peger nameservers på en anden udbyder (f.eks. en separat DNS-host), aktiverer du DNSSEC hos den udbyder i stedet og tilføjer derefter den DS-record, den giver dig, til GoDaddy.

Trin for trin på GoDaddy (ét klik, GoDaddy er registrar og DNS-host)

1. Log ind på din GoDaddy-konto.
2. Gå til My Products (eller Domain Portfolio).
3. Find dit domæne, og åbn dets administrationsside — klik på domænenavnet eller tre-punkts-menuen og vælg Manage DNS / Domain Settings.
4. Scroll ned til sektionen Additional Settings (på nogle konti vises den under DNS Management).
5. Find DNSSEC, og klik Manage eller skiftet.
6. Slå DNSSEC til on.
7. Bekræft. GoDaddy genererer nøglerne, signerer din zone og publicerer DS-recorden op i kæden for dig — der er intet at kopiere et andet sted hen.

Trin for trin, når dit DNS er hostet et andet sted

Er GoDaddy kun din registrar, og en anden virksomhed hoster dit DNS:

1. Aktiver DNSSEC hos din DNS-host først, og kopiér den DS-record, den producerer (du skal bruge Key Tag, Algorithm, Digest Type og Digest).
2. Åbn domænet i GoDaddy, og find sektionen DNSSEC under Additional Settings.
3. Vælg at tilføje en DS-record, og angiv præcis de værdier, du fik fra din DNS-host.
4. Gem. DS-recorden er nu indleveret i den overordnede zone, og kæden er komplet.

Fælder folk typisk falder i på GoDaddy

• Tjek først, hvem der hoster dit DNS. Det enkle ét-klik-skift klarer kun hele jobbet, når GoDaddy er både registrar og DNS-host. Er DNS et andet sted, er skiftet alene ikke nok.
• Slå det ikke til to steder. Signerer din DNS-host allerede zonen, tilføjer du kun dens DS-record hos GoDaddy — du slår ikke også GoDaddys eget signerings-skift til, eller du får to konkurrerende opsætninger.
• Kopiér DS-værdier nøjagtigt, når du angiver dem manuelt. Et enkelt forkert tegn i Digest bryder kæden og kan tage domænet offline.
• Slå DNSSEC fra, inden du flytter DNS. At migrere til en ny DNS-host med en forældet DS-record stadig på plads er den klassiske måde at slå et domæne offline på.
• Giv det tid. Ændringer kan tage fra minutter op til en dag at propagere fuldt ud.

Verificer at det virkede

Når DNSSEC er slået til (og eventuel DS-record er på plads), kan du køre den gratis kontrol på dette site. Den fortæller dig på klart sprog, om DNSSEC er korrekt publiceret og betroet for dit domæne.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.