Defaults.Exposed › Opsætning › DNSSEC

Sådan opsætter du DNSSEC på Namecheap

Aktiver DNSSEC i Namecheap, så ingen kan forfalske dine DNS-svar og omdirigere dine besøgende eller din e-mail.

Hvad det betyder for din virksomhed

Hver gang nogen åbner dit website eller sender dig e-mail, spørger deres computer DNS-systemet om, hvor de finder dig. Disse svar rejser normalt usignerede, så en angriber, der kan forstyrre opslaget, lydløst kan sende dine besøgende til et falsk site eller omdirigere din e-mail til sin egen server — alt mens dit rigtige domæne stadig vises i adresselinjen.

DNSSEC lukker den dør. Det kryptografisk signerer dine DNS-svar, så alle, der slår dig op, kan bekræfte, at svaret virkelig kom fra dig og ikke blev manipuleret undervejs. I klart sprog: det forhindrer domænekapring og cache-forgiftning — de angreb, der gør dit eget domæne til et våben mod dine kunder. Det er gratis, og når Namecheap kører dit DNS, er det tæt på ét klik.

Sådan fungerer DNSSEC (og hvorfor Namecheap kan være enkelt)

DNSSEC har to halvdele: DNS-hosten signerer dine records og publicerer nøglerne (en DNSKEY) plus et lille fingeraftryk kaldet en DS-record, og registraren indleverer den DS-record i den overordnede zone, så resten af internettet stoler på signaturer.

Når Namecheap er både din registrar og din DNS-host — dvs. dit domæne bruger Namecheap BasicDNS / PremiumDNS — håndterer Namecheap begge halvdele med ét enkelt skift. Det signerer zonen og publicerer DS-recorden op i kæden for dig. Hostes dit DNS et andet sted, kopierer du i stedet DS-recorden fra den host til Namecheap manuelt.

Den reelle risiko — gør dette i rækkefølge

DNSSEC kan tage dit domæne offline, hvis det er sat op forkert. Det sker på to måder:

• En DS-record indleveret hos registraren, der ikke matcher det, DNS-hosten rent faktisk signerer med.
• Du flytter dit DNS til en anden host (eller slår signering fra) uden først at fjerne DS-recorden — den forældede DS-record kræver fortsat signaturer, der ikke længere eksisterer, og opslag fejler.

Så: planlægger du nogensinde at flytte DNS væk fra Namecheap eller væk fra Namecheaps nameservers, deaktiverer du DNSSEC og rydder DS-recorden først, derefter flytter du. Følg flowet herunder i rækkefølge, og du er i sikkerhed.

Bekræft at Namecheap kører dit DNS

Tjek, hvad der svarer på DNS for dit domæne. Åbn domænet i din Namecheap-konto, og se på Nameservers-indstillingen under fanen Domain:

• Er den sat til Namecheap BasicDNS eller Namecheap Web Hosting DNS / PremiumDNS, hoster Namecheap dit DNS — brug ét-klik-flowet.
• Viser den Custom DNS, der peger på en anden udbyder, hoster den udbyder dit DNS — aktiver DNSSEC der først, og tilføj derefter den DS-record, du får, til Namecheap.

Trin for trin på Namecheap (Namecheap er registrar og DNS-host)

1. Log ind på Namecheap.
2. Gå til Domain List, og klik Manage ud for dit domæne.
3. Åbn fanen Advanced DNS.
4. Scroll ned til sektionen DNSSEC.
5. Slå DNSSEC til on.
6. Bekræft. Med Namecheaps eget DNS signerer Namecheap zonen og publicerer DS-recorden op i kæden for dig — der er intet at kopiere et andet sted hen.

Trin for trin, når dit DNS er hostet et andet sted

Er Namecheap din registrar, men en anden virksomhed hoster dit DNS:

1. Aktiver DNSSEC hos din DNS-host først, og kopiér de DS-record-værdier, den producerer — typisk Key Tag, Algorithm, Digest Type og Digest.
2. Åbn domænet i Namecheap, gå til fanen Advanced DNS, derefter sektionen DNSSEC.
3. Tilføj en DS-record, og angiv præcis de værdier fra din DNS-host i de matchende felter.
4. Gem. DS-recorden er nu indleveret i den overordnede zone, og tillidskæden er komplet.

Fælder folk typisk falder i på Namecheap

• Skiftet gør kun alt, når Namecheap også hoster dit DNS. På Custom DNS er skiftet alene ikke nok — du skal indsætte DS-recorden fra din reelle DNS-host.
• Dobbeltsigner ikke. Signerer din eksterne DNS-host allerede zonen, angiver du kun dens DS-record hos Namecheap — du aktiverer ikke også Namecheaps eget signering.
• Kopiér DS-værdier tegn for tegn. Et enkelt forkert ciffer i Digest betyder, at DS ikke matcher signaturer — præcis det, der tager et domæne offline. Indsæt, skriv aldrig om manuelt.
• Match algorithm- og digest-type-numre til det, din DNS-host rapporterer — gæt ikke.
• Deaktivér DNSSEC, inden du ændrer nameservers. At skifte DNS-host med en forældet DS-record stadig på plads er den klassiske måde at slå et domæne offline på.
• Giv det tid. Ændringer kan tage fra minutter op til en dag at propagere fuldt ud.

Verificer at det virkede

Når DNSSEC er slået til (og eventuel DS-record er på plads), kan du køre den gratis kontrol på dette site. Den fortæller dig på klart sprog, om DNSSEC er korrekt publiceret og betroet for dit domæne.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.