Defaults.Exposed › Ρύθμιση › DNSSEC

Πώς να ρυθμίσετε το DNSSEC στο Namecheap

Ενεργοποιήστε το DNSSEC στο Namecheap ώστε κανείς να μην μπορεί να παραποιήσει τις απαντήσεις DNS σας και να εκτρέψει επισκέπτες ή email.

Γιατί αυτό έχει σημασία για την επιχείρησή σας

Κάθε φορά που κάποιος ανοίγει την ιστοσελίδα σας ή σας στέλνει email, ο υπολογιστής του ρωτά το σύστημα DNS πού να σας βρει. Αυτές οι απαντήσεις ταξιδεύουν συνήθως χωρίς υπογραφή, οπότε ένας εισβολέας που μπορεί να παρέμβει στην αναζήτηση μπορεί να στείλει αθόρυβα τους επισκέπτες σας σε απομιμητική ιστοσελίδα ή να εκτρέψει το email σας στον δικό του διακομιστή — ενώ ο πραγματικός τομέας σας εξακολουθεί να εμφανίζεται στη γραμμή διεύθυνσης.

Το DNSSEC κλείνει αυτή την πόρτα. Υπογράφει κρυπτογραφικά τις απαντήσεις DNS σας, ώστε αυτός που σας αναζητά να μπορεί να επιβεβαιώσει ότι η απάντηση πράγματι ήρθε από εσάς και δεν τροποποιήθηκε στο δρόμο. Με απλά λόγια: αποτρέπει την αποκτήκρατηση τομέα και τη δηλητηρίαση cache, τις επιθέσεις που χρησιμοποιούν τον δικό σας τομέα εναντίον των πελατών σας. Είναι δωρεάν, και όταν το Namecheap διαχειρίζεται το DNS σας είναι σχεδόν ένα κλικ.

Πώς λειτουργεί το DNSSEC (και γιατί το Namecheap μπορεί να είναι απλό)

Το DNSSEC έχει δύο μισά: ο DNS host υπογράφει τις εγγραφές σας και δημοσιεύει τα κλειδιά (ένα DNSKEY) καθώς και μια μικρή δακτυλική αποτύπωση που ονομάζεται εγγραφή DS, και ο registrar καταθέτει εκείνη την εγγραφή DS στη γονική ζώνη ώστε το υπόλοιπο διαδίκτυο να εμπιστεύεται τις υπογραφές.

Όταν το Namecheap είναι και registrar και DNS host — δηλαδή ο τομέας σας χρησιμοποιεί Namecheap BasicDNS / PremiumDNS — το Namecheap χειρίζεται και τα δύο μισά με έναν μόνο διακόπτη. Υπογράφει τη ζώνη και δημοσιεύει αυτόματα την εγγραφή DS στην αλυσίδα. Όταν το DNS φιλοξενείται αλλού, αντιγράφετε αντ’ αυτού χειροκίνητα την εγγραφή DS από εκείνον τον host στο Namecheap.

Ο πραγματικός κίνδυνος — κάντε το με τη σωστή σειρά

Το DNSSEC μπορεί να θέσει εκτός λειτουργίας τον τομέα σας αν ρυθμιστεί λανθασμένα. Οι δύο τρόποι που συμβαίνει αυτό:

• Εγγραφή DS κατατεθειμένη στον registrar που δεν ταιριάζει με αυτό που υπογράφει στην πράξη ο DNS host.
• Μεταφορά του DNS σε διαφορετικό host (ή απενεργοποίηση της υπογραφής) χωρίς πρώτα να αφαιρεθεί η εγγραφή DS — η παλιά εγγραφή DS συνεχίζει να απαιτεί υπογραφές που δεν υπάρχουν πλέον, και οι αναζητήσεις αποτυγχάνουν.

Επομένως: αν ποτέ μεταφέρετε DNS μακριά από το Namecheap, ή μακριά από τους nameservers του Namecheap, απενεργοποιήστε πρώτα το DNSSEC και αφαιρέστε την εγγραφή DS, μετά μεταφερθείτε. Ακολουθήστε τη ροή παρακάτω με τη σωστή σειρά και είστε ασφαλείς.

Επιβεβαιώστε ότι το Namecheap διαχειρίζεται το DNS σας

Ελέγξτε τι απαντά στα DNS ερωτήματα για τον τομέα σας. Στον λογαριασμό σας στο Namecheap, ανοίξτε τον τομέα και δείτε τη ρύθμιση Nameservers στην καρτέλα Domain:

• Αν έχει οριστεί σε Namecheap BasicDNS ή Namecheap Web Hosting DNS / PremiumDNS, το Namecheap φιλοξενεί το DNS σας — χρησιμοποιήστε τη one-click ροή.
• Αν εμφανίζει Custom DNS που δείχνει σε άλλο παροχό, εκείνος ο παροχός φιλοξενεί το DNS σας — ενεργοποιήστε πρώτα το DNSSEC εκεί, και μετά προσθέστε την εγγραφή DS που σας δίνει στο Namecheap.

Βήμα προς βήμα στο Namecheap (Namecheap είναι registrar και DNS host)

1. Συνδεθείτε στο Namecheap.
2. Μεταβείτε στη Domain List και κάντε κλικ στο Manage δίπλα στον τομέα σας.
3. Ανοίξτε την καρτέλα Advanced DNS.
4. Μεταβείτε κάτω στην ενότητα DNSSEC.
5. Θέστε το DNSSEC σε on.
6. Επιβεβαιώστε. Με το δικό DNS του Namecheap, το Namecheap υπογράφει τη ζώνη και δημοσιεύει αυτόματα την εγγραφή DS στην αλυσίδα — δεν χρειάζεται να αντιγράψετε τίποτα αλλού.

Βήμα προς βήμα όταν το DNS φιλοξενείται αλλού

Αν το Namecheap είναι ο registrar σας αλλά άλλη εταιρεία φιλοξενεί το DNS σας:

1. Ενεργοποιήστε πρώτα το DNSSEC στον DNS host σας και αντιγράψτε τις τιμές εγγραφής DS που παράγει — συνήθως Key Tag, Algorithm, Digest Type, και τον Digest.
2. Στο Namecheap, ανοίξτε τον τομέα και μεταβείτε στην καρτέλα Advanced DNS, μετά στην ενότητα DNSSEC.
3. Προσθέστε εγγραφή DS και εισάγετε ακριβώς τις τιμές από τον DNS host σας στα αντίστοιχα πεδία.
4. Αποθηκεύστε. Η εγγραφή DS έχει πλέον κατατεθεί στη γονική ζώνη, ολοκληρώνοντας την αλυσίδα εμπιστοσύνης.

Συνηθισμένα λάθη στο Namecheap

• Ο διακόπτης κάνει τα πάντα μόνο όταν το Namecheap φιλοξενεί επίσης το DNS σας. Σε Custom DNS, η ενεργοποίησή του μόνο δεν αρκεί — πρέπει να επικολλήσετε την εγγραφή DS από τον πραγματικό DNS host σας.
• Μην υπογράψετε δύο φορές. Αν ο εξωτερικός DNS host σας υπογράφει ήδη τη ζώνη, εισάγετε μόνο την εγγραφή DS του στο Namecheap — δεν ενεργοποιείτε επίσης τη δική υπογραφή του Namecheap.
• Αντιγράψτε τιμές DS χαρακτήρα-χαρακτήρα. Ένα μόνο λάθος ψηφίο στον Digest σημαίνει ότι το DS δεν θα ταιριάζει με τις υπογραφές, που είναι ακριβώς αυτό που θέτει έναν τομέα εκτός λειτουργίας. Επικολλήστε, μην ξαναπληκτρολογήσετε.
• Ταιριάξτε τους αριθμούς algorithm και digest-type σε ό,τι αναφέρει ο DNS host σας — μην μαντέψετε.
• Απενεργοποιήστε το DNSSEC πριν αλλάξετε nameservers. Η εναλλαγή DNS host με παλιά εγγραφή DS στη θέση της είναι ο κλασικός τρόπος να θέσετε εκτός λειτουργίας έναν τομέα.
• Δώστε χρόνο. Οι αλλαγές μπορεί να χρειαστούν από λεπτά έως μία ημέρα για να διαδοθούν πλήρως.

Επαληθεύστε ότι λειτουργεί

Μόλις ενεργοποιηθεί το DNSSEC (και τυχόν εγγραφή DS βρίσκεται στη θέση της), εκτελέστε τον δωρεάν έλεγχο σε αυτό το site. Θα σας πει με απλά λόγια αν το DNSSEC είναι σωστά δημοσιευμένο και αξιόπιστο για τον τομέα σας.

Έγινε; Ελέγξτε το domain σας δωρεάν για να επιβεβαιώσετε ότι λειτούργησε — και δείτε τον πλήρη βαθμό σας σε όλους τους 34 ελέγχους.