Defaults.Exposed › Ρύθμιση › DNSSEC

Πώς να ρυθμίσετε το DNSSEC στο Cloudflare

Ενεργοποιήστε το DNSSEC στο Cloudflare και προσθέστε την εγγραφή DS στον registrar σας ώστε κανείς να μην μπορεί να παραποιήσει τις απαντήσεις DNS σας.

Γιατί αυτό έχει σημασία για την επιχείρησή σας

Όταν κάποιος πληκτρολογεί τον τομέα σας ή σας στέλνει email, ο υπολογιστής του ρωτά το σύστημα DNS για τη σωστή διεύθυνση. Κανονικά αυτές οι απαντήσεις ταξιδεύουν χωρίς υπογραφή, πράγμα που σημαίνει ότι ένας εισβολέας που μπορεί να τις παρέμβει μπορεί να κατευθύνει αθόρυβα τους επισκέπτες σας σε ψεύτικη ιστοσελίδα ή να εκτρέψει το email σας στον δικό του διακομιστή. Οι πελάτες σας βλέπουν τον πραγματικό τομέα σας στη γραμμή διεύθυνσης όλη την ώρα.

Το DNSSEC κλείνει αυτό το χάσμα. Υπογράφει κρυπτογραφικά τις απαντήσεις DNS σας, ώστε αυτός που σας αναζητά να μπορεί να αποδείξει ότι η απάντηση πράγματι ήρθε από εσάς και δεν τροποποιήθηκε στο δρόμο. Με απλά λόγια: σταματά τους εγκληματίες από το να αποκτήσουν έλεγχο του τομέα σας ή να δηλητηριάσουν τις αναζητήσεις που κατευθύνουν τους ανθρώπους σε εσάς. Είναι δωρεάν, και είναι μία από τις ισχυρότερες προστασίες που μπορείτε να ενεργοποιήσετε για τα θεμέλια πάνω στα οποία στηρίζεται τα πάντα.

Πώς λειτουργεί στην πράξη το DNSSEC (για να έχουν νόημα τα βήματα)

Το DNSSEC έχει δύο μισά που βρίσκονται σε δύο διαφορετικά μέρη:

• Ο DNS host σας (Cloudflare) υπογράφει τις εγγραφές σας και δημοσιεύει τα δημόσια κλειδιά (ένα DNSKEY) καθώς και μια μικρή δακτυλική αποτύπωση τους που ονομάζεται εγγραφή DS.
• Ο registrar σας (όπου αγοράσατε και ανανεώνετε τον τομέα) δημοσιεύει εκείνη την εγγραφή DS στη γονική ζώνη (για παράδειγμα .com).

Η εγγραφή DS στον registrar είναι ο σύνδεσμος στην αλυσίδα εμπιστοσύνης. Το Cloudflare μπορεί να υπογράφει συνεχώς, αλλά έως ότου η αντίστοιχη εγγραφή DS κατατεθεί στον registrar σας, το ευρύτερο διαδίκτυο δεν έχει υπογεγραμμένο τρόπο να εμπιστευτεί αυτές τις υπογραφές. Οπότε η δουλειά είναι δύο βήματα: ενεργοποιήστε το στο Cloudflare, μετά δώστε την εγγραφή DS στον registrar σας.

Ο πραγματικός κίνδυνος — κάντε το προσεκτικά

Το DNSSEC μπορεί να θέσει εκτός λειτουργίας ολόκληρο τον τομέα σας αν γίνει λάθος. Οι δύο τρόποι που συμβαίνει αυτό:

• Δημοσίευση εγγραφής DS στον registrar που δεν ταιριάζει με αυτό που υπογράφει στην πράξη ο DNS host σας.
• Μεταφορά του DNS σε διαφορετικό host (ή απενεργοποίηση του Cloudflare) χωρίς πρώτα να αφαιρεθεί η εγγραφή DS στον registrar — η παλιά εγγραφή DS συνεχίζει να απαιτεί υπογραφές που δεν υπάρχουν πλέον, και οι αναζητήσεις αρχίζουν να αποτυγχάνουν.

Τίποτε από αυτά δεν είναι επικίνδυνο αν ακολουθήσετε τη ροή παρακάτω με τη σωστή σειρά και δεν διαγράψετε ποτέ την εγγραφή DS στον registrar ενώ το Cloudflare εξακολουθεί να είναι ο signing host σας. Αν σχεδιάζετε ποτέ να απομακρυνθείτε από το Cloudflare, απενεργοποιήστε πρώτα το DNSSEC και αφαιρέστε την εγγραφή DS στον registrar, μετά μεταφέρετε.

Επιβεβαιώστε ότι το Cloudflare διαχειρίζεται το DNS σας

Αυτό λειτουργεί μόνο αν το Cloudflare απαντά στα DNS ερωτήματα για τον τομέα σας. Το Cloudflare είναι ο DNS host σας, όχι απαραίτητα η εταιρεία από την οποία αγοράσατε τον τομέα. Το DNS του Cloudflare είναι ενεργό μόνο όταν οι nameservers του τομέα σας δείχνουν στους nameservers του Cloudflare που εμφανίζονται στον πίνακα ελέγχου σας. Ανοίξτε τον τομέα στο Cloudflare και ελέγξτε τη σελίδα Overview για να επιβεβαιώσετε ότι το Cloudflare είναι ενεργό. Αν οι nameservers σας δείχνουν αλλού, ενεργοποιήστε το DNSSEC στον παροχό που διαχειρίζεται το DNS σας.

Βήμα προς βήμα στο Cloudflare

1. Συνδεθείτε στο Cloudflare και επιλέξτε τον τομέα σας.
2. Στο αριστερό μενού, μεταβείτε στο DNS, μετά Settings (στα παλαιότερα dashboards εμφανίζεται απευθείας ενότητα DNSSEC κάτω από το DNS).
3. Βρείτε το DNSSEC και κάντε κλικ στο Enable DNSSEC.
4. Το Cloudflare θα εμφανίσει ένα πάνελ τιμών — η σημαντική είναι η εγγραφή DS. Θα δείτε συνήθως πεδία όπως Key Tag, Algorithm, Digest Type, Digest, και μια έτοιμη μονογραμμή DS record. Αφήστε αυτό το πάνελ ανοιχτό· χρειάζεστε να αντιγράψετε αυτά στον registrar σας.
5. Τώρα συνδεθείτε στον registrar σας (η εταιρεία με την οποία ανανεώνετε τον τομέα — μπορεί να είναι ή να μην είναι το Cloudflare).
6. Βρείτε την ενότητα DNSSEC ή εγγραφής DS για τον τομέα σας στον registrar και προσθέστε νέα εγγραφή DS χρησιμοποιώντας τις ακριβείς τιμές που σας έδωσε το Cloudflare:
   • Key Tag — ο αριθμός που εμφανίζει το Cloudflare.
   • Algorithm — συνήθως 13 (ECDSA P-256 SHA-256).
   • Digest Type — συνήθως 2 (SHA-256).
   • Digest — η μεγάλη δεκαεξαδική συμβολοσειρά, αντιγραμμένη ακριβώς.
7. Αποθηκεύστε στον registrar. Αν ο registrar σας επιτρέπει να επικολλήσετε μια ενιαία γραμμή DS αντί για χωριστά πεδία, χρησιμοποιήστε την πλήρη γραμμή DS που εμφάνισε το Cloudflare.
8. Πίσω στο Cloudflare, μόλις ο registrar αποδεχτεί την εγγραφή DS, η κατάσταση DNSSEC του Cloudflare θα μεταβεί σε active (αυτό μπορεί να χρειαστεί λίγο χρόνο για επιβεβαίωση).

Συνηθισμένα λάθη στο Cloudflare

• Δύο συστήματα, όχι ένα. Η ενεργοποίηση του DNSSEC μόνο στο Cloudflare δεν κάνει τίποτα από μόνη της — η εγγραφή DS πρέπει επίσης να κατατεθεί στον registrar σας. Πολλοί σταματούν μετά το βήμα 3 και απορούν γιατί δεν ενεργοποιείται ποτέ.
• Αντιγράψτε το digest ακριβώς. Ένας μόνο λάθος ή ελλείπων χαρακτήρας στο Digest σημαίνει ότι η εγγραφή DS του registrar δεν θα ταιριάζει με τις υπογραφές του Cloudflare, που είναι ακριβώς η εσφαλμένη ρύθμιση που θέτει έναν τομέα εκτός λειτουργίας. Αντιγράψτε και επικολλήστε· μην το ξαναπληκτρολογήσετε.
• Ταιριάξτε τους αριθμούς algorithm και digest-type. Αν ο registrar σας τα ζητά χωριστά, χρησιμοποιήστε τις τιμές που δείχνει το Cloudflare — μην μαντέψετε.
• Αν το Cloudflare είναι επίσης ο registrar σας, το βήμα DS χειρίζεται εσωτερικά και μπορεί να μην δείτε χωριστή φόρμα registrar — αλλά επιβεβαιώστε ότι το DNSSEC εμφανίζεται ως active πριν υποθέσετε ότι έχει ολοκληρωθεί.
• Μην αφαιρέσετε ποτέ την εγγραφή DS ενώ το Cloudflare υπογράφει ακόμα. Και αν ποτέ μεταφέρετε DNS μακριά από το Cloudflare, απενεργοποιήστε πρώτα το DNSSEC και αφαιρέστε την εγγραφή DS στον registrar πριν μεταφερθείτε.
• Δώστε χρόνο. Οι αλλαγές DNSSEC μπορεί να χρειαστούν από μερικά λεπτά έως μία ημέρα για να διαδοθούν πλήρως και να εμφανιστούν ως active.

Επαληθεύστε ότι λειτουργεί

Μόλις το DNSSEC εμφανιστεί ως active στο Cloudflare και η εγγραφή DS βρίσκεται στη θέση της στον registrar σας, εκτελέστε τον δωρεάν έλεγχο σε αυτό το site. Θα σας πει με απλά λόγια αν το DNSSEC είναι σωστά δημοσιευμένο και αξιόπιστο για τον τομέα σας.

Έγινε; Ελέγξτε το domain σας δωρεάν για να επιβεβαιώσετε ότι λειτούργησε — και δείτε τον πλήρη βαθμό σας σε όλους τους 34 ελέγχους.