Defaults.Exposed › Ρύθμιση › DNSSEC

Πώς να ρυθμίσετε το DNSSEC στο GoDaddy

Ενεργοποιήστε το DNSSEC στο GoDaddy με ένα διακόπτη ώστε κανείς να μην μπορεί να παραποιήσει τις απαντήσεις DNS σας και να αποκτήσει έλεγχο του τομέα σας.

Γιατί αυτό έχει σημασία για την επιχείρησή σας

Όταν κάποιος επισκέπτεται την ιστοσελίδα σας ή σας στέλνει email, ο υπολογιστής του ρωτά πρώτα το σύστημα DNS για τη σωστή διεύθυνση. Αυτές οι απαντήσεις ταξιδεύουν κανονικά χωρίς υπογραφή, οπότε ένας εισβολέας που μπορεί να παρέμβει στην αναζήτηση μπορεί να στείλει αθόρυβα τους επισκέπτες σας σε ψεύτικη ιστοσελίδα ή να εκτρέψει το email σας στον δικό του διακομιστή — ενώ ο πραγματικός τομέας σας εξακολουθεί να εμφανίζεται στη γραμμή διεύθυνσης.

Το DNSSEC σταματά αυτό. Υπογράφει κρυπτογραφικά τις απαντήσεις DNS σας, ώστε αυτός που σας αναζητά να μπορεί να αποδείξει ότι η απάντηση πράγματι ήρθε από εσάς και δεν τροποποιήθηκε στη μεταφορά. Με απλά λόγια: μπλοκάρει την αποκτήκρατηση τομέα και τη δηλητηρίαση cache, τις επιθέσεις που στρέφουν τον δικό σας τομέα εναντίον των πελατών σας. Είναι δωρεάν, και στο GoDaddy είναι συνήθως ένας μόνο διακόπτης.

Πώς λειτουργεί το DNSSEC (και γιατί το GoDaddy είναι εύκολο εδώ)

Το DNSSEC έχει δύο μισά: ο DNS host υπογράφει τις εγγραφές σας και δημοσιεύει τα κλειδιά (ένα DNSKEY) καθώς και μια μικρή δακτυλική αποτύπωση που ονομάζεται εγγραφή DS, και ο registrar καταθέτει εκείνη την εγγραφή DS στη γονική ζώνη ώστε το υπόλοιπο διαδίκτυο να εμπιστεύεται τις υπογραφές.

Όταν το GoDaddy είναι και registrar και DNS host — που ισχύει για τους περισσότερους τομείς GoDaddy που χρησιμοποιούν nameservers GoDaddy — το GoDaddy κάνει και τα δύο μισά για εσάς. Ενεργοποιείτε έναν διακόπτη· το GoDaddy παράγει τα κλειδιά και καταθέτει αυτόματα την εγγραφή DS στην αλυσίδα. Δεν χρειάζεται να αντιγράψετε τιμές μεταξύ συστημάτων.

Ο πραγματικός κίνδυνος — πότε δεν είναι τόσο απλό

Το DNSSEC μπορεί να θέσει εκτός λειτουργίας τον τομέα σας αν ρυθμιστεί λανθασμένα. Ο κίνδυνος προκύπτει κυρίως όταν ο registrar και ο DNS host είναι διαφορετικές εταιρείες, ή όταν μεταφέρετε DNS host:

• Αν ο τομέας σας είναι καταχωρημένος στο GoDaddy αλλά το DNS φιλοξενείται αλλού, ο one-click διακόπτης του GoDaddy δεν εφαρμόζεται — πρέπει να ενεργοποιήσετε την υπογραφή στον πραγματικό DNS host σας και να προσθέσετε χειροκίνητα την εγγραφή DS στο GoDaddy.
• Αν ποτέ μεταφέρετε το DNS σας μακριά από το GoDaddy, απενεργοποιήστε πρώτα το DNSSEC. Μια υπολειπόμενη εγγραφή DS που δεν ταιριάζει πλέον με κανέναν ενεργό signing host θα προκαλέσει αποτυχία αναζητήσεων και ο τομέας θα σβήσει.

Αν το GoDaddy είναι και registrar και DNS host, η one-click ροή παρακάτω είναι ασφαλής.

Επιβεβαιώστε ότι το GoDaddy διαχειρίζεται το DNS σας

Αυτό έχει σημασία μόνο αν το GoDaddy απαντά στην πράξη στα DNS ερωτήματα για τον τομέα σας. Ελέγξτε ότι ο τομέας σας χρησιμοποιεί nameservers GoDaddy: στον λογαριασμό σας στο GoDaddy, ανοίξτε τον τομέα και δείτε τη ρύθμιση Nameservers. Αν εμφανίζει τους δικούς nameservers του GoDaddy, η one-click εναλλαγή είναι ο σωστός δρόμος. Αν οι nameservers δείχνουν σε άλλο παροχό (για παράδειγμα χωριστό DNS host), ενεργοποιήστε πρώτα το DNSSEC σε εκείνον τον παροχό, και μετά προσθέστε την εγγραφή DS που σας δίνει στο GoDaddy.

Βήμα προς βήμα στο GoDaddy (one-click, GoDaddy είναι registrar και DNS host)

1. Συνδεθείτε στον λογαριασμό σας στο GoDaddy.
2. Μεταβείτε στα My Products (ή Domain Portfolio).
3. Βρείτε τον τομέα σας και ανοίξτε τη σελίδα διαχείρισής του — κάντε κλικ στο όνομα τομέα ή στο μενού τριών τελειών και επιλέξτε Manage DNS / Domain Settings.
4. Μεταβείτε κάτω στην ενότητα Additional Settings (σε ορισμένους λογαριασμούς εμφανίζεται κάτω από DNS Management).
5. Βρείτε το DNSSEC και κάντε κλικ στο Manage ή στον διακόπτη.
6. Θέστε το DNSSEC σε on.
7. Επιβεβαιώστε. Το GoDaddy παράγει τα κλειδιά, υπογράφει τη ζώνη σας, και δημοσιεύει αυτόματα την εγγραφή DS στην αλυσίδα — δεν χρειάζεται να αντιγράψετε τίποτα αλλού.

Βήμα προς βήμα όταν το DNS φιλοξενείται αλλού

Αν το GoDaddy είναι μόνο ο registrar σας και άλλη εταιρεία φιλοξενεί το DNS σας:

1. Ενεργοποιήστε πρώτα το DNSSEC στον DNS host σας και αντιγράψτε την εγγραφή DS που παράγει (χρειάζεστε Key Tag, Algorithm, Digest Type, και τον Digest).
2. Στο GoDaddy, ανοίξτε τον τομέα και βρείτε την ενότητα DNSSEC κάτω από Additional Settings.
3. Επιλέξτε add εγγραφή DS και εισάγετε ακριβώς τις τιμές από τον DNS host σας.
4. Αποθηκεύστε. Η εγγραφή DS έχει πλέον κατατεθεί στη γονική ζώνη, ολοκληρώνοντας την αλυσίδα.

Συνηθισμένα λάθη στο GoDaddy

• Ελέγξτε πρώτα ποιος φιλοξενεί το DNS σας. Ο απλός one-click διακόπτης κάνει ολόκληρη τη δουλειά μόνο όταν το GoDaddy είναι και registrar και DNS host. Αν το DNS βρίσκεται αλλού, ο διακόπτης από μόνος του δεν αρκεί.
• Μην τον ενεργοποιήσετε σε δύο μέρη. Αν ο DNS host σας υπογράφει ήδη τη ζώνη, προσθέτετε μόνο την εγγραφή DS του στο GoDaddy — δεν ενεργοποιείτε επίσης τον δικό signing διακόπτη του GoDaddy, διαφορετικά θα έχετε δύο ανταγωνιστικές ρυθμίσεις.
• Αντιγράψτε ακριβώς τις τιμές DS όταν τις εισάγετε χειροκίνητα. Ένας μόνο λάθος χαρακτήρας στον Digest σπάει την αλυσίδα και μπορεί να θέσει εκτός λειτουργίας τον τομέα.
• Απενεργοποιήστε το DNSSEC πριν μεταφέρετε DNS. Η μετεγκατάσταση σε νέο DNS host με παλιά εγγραφή DS στη θέση της είναι ο κλασικός τρόπος να θέσετε εκτός λειτουργίας έναν τομέα.
• Δώστε χρόνο. Οι αλλαγές μπορεί να χρειαστούν από λεπτά έως μία ημέρα για να διαδοθούν πλήρως.

Επαληθεύστε ότι λειτουργεί

Μόλις ενεργοποιηθεί το DNSSEC (και τυχόν εγγραφή DS βρίσκεται στη θέση της), εκτελέστε τον δωρεάν έλεγχο σε αυτό το site. Θα σας πει με απλά λόγια αν το DNSSEC είναι σωστά δημοσιευμένο και αξιόπιστο για τον τομέα σας.

Έγινε; Ελέγξτε το domain σας δωρεάν για να επιβεβαιώσετε ότι λειτούργησε — και δείτε τον πλήρη βαθμό σας σε όλους τους 34 ελέγχους.