Defaults.Exposed › راه‌اندازی › DNSSEC

راه‌اندازی DNSSEC در Cloudflare

DNSSEC را در Cloudflare فعال کنید و رکورد DS را در رجیسترارتان اضافه کنید تا هیچ‌کس نتواند پاسخ‌های DNS شما را جعل کند.

چرا این موضوع برای کسب‌وکار شما اهمیت دارد

وقتی کسی دامنه شما را تایپ می‌کند یا برایتان ایمیل می‌فرستد، کامپیوتر آن‌ها از سیستم DNS درخواست آدرس درست می‌کند. معمولاً این پاسخ‌ها بدون امضا سفر می‌کنند، که یعنی یک مهاجم که می‌تواند آن‌ها را دستکاری کند می‌تواند بازدیدکنندگان شما را بی‌سروصدا به یک وب‌سایت جعلی هدایت کند یا ایمیل شما را به سرور خودش منحرف کند. مشتریان در تمام این مدت دامنه واقعی شما را در نوار آدرس می‌بینند.

DNSSEC این شکاف را می‌بندد. پاسخ‌های DNS شما را رمزنگاری امضا می‌کند، بنابراین کسی که شما را جستجو می‌کند می‌تواند ثابت کند پاسخ واقعاً از شما آمده و در راه تغییر نکرده است. به زبان ساده: مانع می‌شود مجرمان دامنه شما را هایجک کنند یا جستجوهایی که مردم را به شما هدایت می‌کنند مسموم سازند. رایگان است، و یکی از قوی‌ترین محافظت‌هایی است که می‌توانید برای پایه‌ای که همه چیز بر آن نشسته فعال کنید.

نحوه کارکرد DNSSEC (تا مراحل منطقی به نظر برسند)

DNSSEC دو نیمه دارد که در دو جا قرار می‌گیرند:

• هاست DNS شما (Cloudflare) رکوردهایتان را امضا می‌کند و کلیدهای عمومی (یک DNSKEY) به علاوه یک اثرانگشت کوچک از آن‌ها به نام رکورد DS منتشر می‌کند.
• رجیسترار شما (شرکتی که دامنه را از آن خریده‌اید و تمدید می‌کنید) آن رکورد DS را در zone والد (مثلاً .com) منتشر می‌کند.

رکورد DS در رجیسترار، حلقه اتصال در زنجیره اعتماد است. Cloudflare می‌تواند تمام روز امضا کند، اما تا زمانی که رکورد DS مطابق در رجیسترارتان ثبت نشود، اینترنت گسترده‌تر هیچ راه امنیتی برای اعتماد به آن امضاها ندارد. پس کار دو مرحله است: در Cloudflare فعال کنید، سپس رکورد DS را به رجیسترارتان بدهید.

خطر واقعی — این را با دقت انجام دهید

DNSSEC می‌تواند کل دامنه شما را آفلاین کند اگر اشتباه انجام شود. دو روش که این اتفاق می‌افتد:

• انتشار یک رکورد DS در رجیسترار که با آنچه هاست DNS شما واقعاً با آن امضا می‌کند مطابقت ندارد.
• انتقال DNS به یک هاست دیگر (یا خاموش کردن Cloudflare) بدون اینکه ابتدا رکورد DS را در رجیسترار حذف کنید — رکورد DS قدیمی همچنان امضاهایی را مطالبه می‌کند که دیگر وجود ندارند، و جستجوها شروع به شکست می‌کنند.

هیچ‌کدام خطرناک نیستند اگر جریان زیر را به ترتیب دنبال کنید و هرگز رکورد DS را در رجیسترار حذف نکنید در حالی که Cloudflare هنوز هاست امضاکننده شماست. اگر هرگز قصد دارید از Cloudflare دور شوید، ابتدا DNSSEC را غیرفعال کنید و رکورد DS را در رجیسترار حذف کنید، سپس منتقل شوید.

تأیید کنید که Cloudflare DNS شما را اداره می‌کند

این فقط در صورتی کار می‌کند که Cloudflare پاسخ DNS دامنه شما را بدهد. Cloudflare هاست DNS شماست، نه لزوماً شرکتی که دامنه را از آن خریده‌اید. DNS Cloudflare فقط زمانی فعال است که nameservers دامنه شما به nameservers Cloudflare که در داشبوردتان نشان داده شده اشاره کنند. دامنه‌تان را در Cloudflare باز کنید و صفحه Overview را بررسی کنید تا مطمئن شوید Cloudflare فعال است. اگر nameservers شما به جای دیگری اشاره می‌کنند، DNSSEC را در آن سرویس‌دهنده DNS فعال کنید.

راهنمای گام‌به‌گام در Cloudflare

1. وارد Cloudflare شوید و دامنه‌تان را انتخاب کنید.
2. در منوی سمت چپ، به DNS، سپس Settings بروید (داشبوردهای قدیمی‌تر یک بخش DNSSEC مستقیماً زیر DNS نشان می‌دهند).
3. DNSSEC را پیدا کنید و روی Enable DNSSEC کلیک کنید.
4. Cloudflare یک پنل از مقادیر نمایش می‌دهد — مهم‌ترین آن رکورد DS است. معمولاً فیلدهایی مانند Key Tag، Algorithm، Digest Type، Digest، و یک رکورد DS آماده یک‌خطی را خواهید دید. این پنل را باز بگذارید؛ باید این‌ها را به رجیسترارتان کپی کنید.
5. حالا وارد رجیسترار خود شوید (شرکتی که دامنه را با آن تمدید می‌کنید — ممکن است Cloudflare باشد یا نباشد).
6. بخش DNSSEC یا رکورد DS دامنه‌تان را در رجیسترار پیدا کنید و یک رکورد DS جدید با استفاده از مقادیر دقیقی که Cloudflare داد اضافه کنید:
   • Key Tag — عددی که Cloudflare نشان می‌دهد.
   • Algorithm — معمولاً 13 (ECDSA P-256 SHA-256).
   • Digest Type — معمولاً 2 (SHA-256).
   • Digest — رشته هگزادسیمال طولانی، دقیقاً کپی‌شده.
7. در رجیسترار ذخیره کنید. اگر رجیسترار اجازه می‌دهد به جای فیلدهای جداگانه یک خط DS ترکیبی paste کنید، از خط کامل DS که Cloudflare نمایش داد استفاده کنید.
8. در Cloudflare، پس از اینکه رجیسترار رکورد DS را پذیرفت، وضعیت DNSSEC Cloudflare به active تغییر می‌کند (تأیید این ممکن است کمی زمان ببرد).

اشتباهات رایج در Cloudflare

• دو سیستم، نه یکی. فعال کردن DNSSEC در Cloudflare به تنهایی هیچ تأثیری ندارد — رکورد DS باید در رجیسترار شما هم ثبت شود. افراد بعد از مرحله 3 متوقف می‌شوند و تعجب می‌کنند چرا هرگز فعال نمی‌شود.
• Digest را دقیقاً کپی کنید. یک کاراکتر اشتباه یا گمشده در Digest یعنی رکورد DS رجیسترار با امضاهای Cloudflare مطابقت نخواهد داشت، که دقیقاً همان پیکربندی اشتباهی است که یک دامنه را آفلاین می‌کند. کپی-paste کنید؛ هرگز دوباره تایپ نکنید.
• اعداد algorithm و digest-type را مطابقت دهید. اگر رجیسترار شما این‌ها را جداگانه می‌خواهد، از مقادیر نشان‌داده‌شده توسط Cloudflare استفاده کنید — حدس نزنید.
• اگر Cloudflare رجیسترار شما هم هست، مرحله DS به صورت داخلی انجام می‌شود و ممکن است فرم رجیسترار جداگانه‌ای نبینید — اما قبل از اینکه فرض کنید کار تمام شده، تأیید کنید DNSSEC به عنوان active نشان داده می‌شود.
• هرگز رکورد DS را در حالی که Cloudflare هنوز امضا می‌کند حذف نکنید. و اگر روزی DNS را از Cloudflare مهاجرت کردید، ابتدا DNSSEC را غیرفعال کنید و DS را در رجیسترار پاک کنید، سپس منتقل شوید.
• صبور باشید. تغییرات DNSSEC ممکن است از چند دقیقه تا یک روز طول بکشد تا کاملاً منتشر شوند و به عنوان active نشان داده شوند.

تأیید کنید که کار کرد

پس از اینکه DNSSEC در Cloudflare به عنوان active نشان داده شد و رکورد DS در رجیسترارتان در جای خود بود، بررسی رایگان این سایت را اجرا کنید. به زبان ساده به شما می‌گوید آیا DNSSEC به درستی منتشر شده و برای دامنه شما مورد اعتماد است.

انجام شد؟ دامنه خود را رایگان بررسی کنید تا تأیید کنید که کار کرده — و رتبه کامل خود را در همه ۳۴ بررسی ببینید.