Defaults.Exposed › Seadistamine › DNSSEC

Kuidas seadistada DNSSEC Cloudflare'is

Lülita Cloudflare'is DNSSEC sisse ja lisa DS-kirje oma registripidaja juures, et keegi ei saaks sinu DNS-vastuseid võltsida.

Miks see on teie ettevõtte jaoks oluline

Kui keegi kirjutab sinu domeeni sisse või saadab sulle meili, küsib tema arvuti DNS-süsteemilt õiget aadressi. Tavaliselt liiguvad need vastused allkirjastamata, mis tähendab, et neid pealt kuulav ründaja saab vaikselt suunata sinu külastajad võltsveebisaidile või ümber suunata sinu meilid oma serverisse. Sinu kliendid näevad sinu päris domeeni aadressiribal kogu aeg.

DNSSEC sulgeb selle lünga. See krüptograafiliselt allkirjastab sinu DNS-vastused, nii et sinu otsija saab tõendada, et vastus tuli tõesti sinult ja seda pole teel muudetud. Lihtsalt öeldes: see takistab kurjategijatel sinu domeeni kaaperdamist või sinu juurde viivate otsingute mürgitamist. See on tasuta ning üks tugevamaid kaitsemeetmeid, mida saate aluse jaoks sisse lülitada, millele kõik muu toetub.

Kuidas DNSSEC tegelikult toimib (et sammud oleksid arusaadavad)

DNSSEC-il on kaks poolt, mis asuvad kahes kohas:

• Teie DNS-i majutaja (Cloudflare) allkirjastab teie kirjed ja avaldab avalikud võtmed (DNSKEY) ning neist väikese sõrmejälje nimega DS-kirje.
• Teie registripidaja (kust ostsite ja uuendate domeeni) avaldab selle DS-kirje ülemises tsoonis (näiteks .com).

DS-kirje registripidaja juures on usaldusahela lüli. Cloudflare võib allkirjastada terve päeva, kuid kuni vastavat DS-kirjet pole registripidaja juures esitatud, pole laiemalt internetis allkirjastatud viisi nende allkirjadele usaldada. Seega koosneb töö kahest sammust: lülitage see Cloudflare’is sisse, seejärel andke DS-kirje oma registripidajale.

Tegelik risk — tehke seda hoolikalt

DNSSEC võib vale seadistuse korral kogu teie domeeni veebist eemaldada. Seda juhtub kahel viisil:

• DS-kirje avaldamine registripidaja juures, mis ei vasta sellele, millega teie DNS-i majutaja tegelikult allkirjastab.
• DNS-i teisele majutajale kolimine (või Cloudflare’i väljalülitamine) ilma DS-kirjet registripidaja juures esmalt kustutamata — vana DS-kirje nõuab jätkuvalt allkirju, mida enam pole, ja otsingud hakkavad ebaõnnestuma.

Kumbki pole ohtlik, kui järgite allolevat voogu järjekorras ja ei kustuta DS-kirjet registripidaja juures, kui Cloudflare on endiselt teie allkirjastav majutaja. Kui kavatsete kunagi Cloudflare’ist lahkuda, keelake DNSSEC ja eemaldage DS-kirje registripidaja juures esmalt, seejärel kolite.

Kinnita, et Cloudflare haldab sinu DNS-i

See töötab ainult siis, kui Cloudflare vastab sinu domeeni DNS-päringutele. Cloudflare on sinu DNS-i majutaja, mitte tingimata ettevõte, kust domeeni ostsite. Cloudflare’i DNS on aktiivne ainult siis, kui sinu domeeni nimeserverid osutavad armatuurlaual näidatud Cloudflare’i nimeserveritele. Ava oma domeen Cloudflare’is ja vaata lehe Overview kinnitust, et Cloudflare on aktiivne. Kui nimeserverid osutavad mujale, lubage DNSSEC selle pakkuja juures, kes tegelikult sinu DNS-i haldab.

Samm-sammuline juhend Cloudflare’is

1. Logi Cloudflare’i sisse ja vali oma domeen.
2. Vali vasakul menüüs DNS, seejärel Settings (vanemad armatuurlauad näitavad DNSSEC jaotist otse DNS all).
3. Leidke DNSSEC ja klõpsake Enable DNSSEC.
4. Cloudflare kuvab väärtuste paneeli — oluline on DS-kirje. Näete tavaliselt välju nagu Key Tag, Algorithm, Digest Type, Digest ja valmis üherealine DS-kirje. Jätke see paneel avatuks; peate need väärtused kopeerima oma registripidajale.
5. Logige nüüd sisse oma registripidajasse (ettevõte, kus uuendate domeeni — see võib olla Cloudflare või mitte).
6. Leidke oma domeeni DNSSEC või DS-kirje jaotis registripidaja juures ja lisage uus DS-kirje, kasutades täpselt Cloudflare’i antud väärtusi:
   • Key Tag — number, mida Cloudflare näitab.
   • Algorithm — tavaliselt 13 (ECDSA P-256 SHA-256).
   • Digest Type — tavaliselt 2 (SHA-256).
   • Digest — pikk kuueteistkümnendarv string, kopeeritud täpselt.
7. Salvestage registripidaja juures. Kui teie registripidaja lubab kleepida ühe kombineeritud DS-kirje rea asemel eraldi välju, kasutage Cloudflare’i kuvatud täielikku DS-rida.
8. Tagasi Cloudflare’is liigub DNSSEC olek active peale, kui registripidaja on DS-kirje vastu võtnud (see võib veidi aega võtta).

Levinud vead Cloudflare’is

• Kaks süsteemi, mitte üks. DNSSEC-i lubamine ainult Cloudflare’is ei tee iseseisvalt midagi — DS-kirje peab olema esitatud ka teie registripidajale. Inimesed peatuvad pärast 3. sammu ja imestavad, miks see kunagi aktiivseks ei lähe.
• Kopeerige digest täpselt. Üks vale või puuduv märk Digest’is tähendab, et registripidaja DS-kirje ei vasta Cloudflare’i allkirjadele, mis on täpselt see väärkonfiguratsioon, mis domeeni veebist eemaldab. Kopeerige ja kleepige; ärge kunagi sisestage käsitsi.
• Vastake algoritmi ja digest-tüübi numbritele. Kui teie registripidaja küsib neid eraldi, kasutage Cloudflare’i näidatud väärtusi — ärge arvake.
• Kui Cloudflare on ka teie registripidaja, käsitletakse DS-sammu sisemiselt ja te ei pruugi eraldi registripidaja vormi näha — kuid kinnitage, et DNSSEC näitab olekut active, enne kui eeldate, et see on tehtud.
• Ärge kunagi eemaldage DS-kirjet, kui Cloudflare veel allkirjastab. Ja kui kunagi migreerite DNS-i Cloudflare’ist eemale, keelake DNSSEC ja tühjendage DS-kirje registripidaja juures enne kolimist.
• Andke aega. DNSSEC-muudatused võivad täieliku levimise ja aktiivseks näitamiseni võtta mõnest minutist kuni ühe päevani.

Kontrolli, kas see töötas

Kui DNSSEC näitab Cloudflare’is olekut active ja DS-kirje on registripidaja juures paigas, käivita selle saidi tasuta kontroll. See ütleb lihtsas keeles, kas DNSSEC on sinu domeeni jaoks korrektselt avaldatud ja usaldusväärne.

Valmis? Kontrolli oma domeeni tasuta et kinnitada, kas see töötas — ja vaadata oma täielikku hinnet kõigi 34 kontrolli alusel.