Defaults.Exposed › راه‌اندازی › DNSSEC

راه‌اندازی DNSSEC در GoDaddy

DNSSEC را در GoDaddy با یک toggle فعال کنید تا هیچ‌کس نتواند پاسخ‌های DNS شما را جعل کند و دامنه‌تان را هایجک کند.

چرا این موضوع برای کسب‌وکار شما اهمیت دارد

وقتی کسی از وب‌سایت شما بازدید می‌کند یا برایتان ایمیل می‌فرستد، کامپیوتر آن‌ها ابتدا از سیستم DNS درخواست آدرس درست می‌کند. این پاسخ‌ها معمولاً بدون امضا سفر می‌کنند، بنابراین یک مهاجم که می‌تواند در جستجو دخالت کند می‌تواند بازدیدکنندگان شما را به آرامی به یک سایت جعلی هدایت کند یا ایمیل شما را به سرور خودش منحرف کند — در حالی که دامنه واقعی شما همچنان در نوار آدرس نشان می‌دهد.

DNSSEC این را متوقف می‌کند. پاسخ‌های DNS شما را رمزنگاری امضا می‌کند، بنابراین هر کسی که شما را جستجو می‌کند می‌تواند ثابت کند پاسخ واقعاً از شما آمده و در راه تغییر نکرده است. به زبان ساده: هایجک دامنه و مسموم‌سازی cache را مسدود می‌کند، حملاتی که دامنه خودتان را علیه مشتریانتان به کار می‌گیرند. رایگان است، و در GoDaddy معمولاً یک سوییچ واحد است.

نحوه کارکرد DNSSEC (و چرا GoDaddy اینجا آسان است)

DNSSEC دو نیمه دارد: هاست DNS رکوردهای شما را امضا می‌کند و کلیدها (یک DNSKEY) به علاوه یک اثرانگشت کوچک به نام رکورد DS منتشر می‌کند، و رجیسترار آن رکورد DS را در zone والد ثبت می‌کند تا بقیه اینترنت به امضاها اعتماد کند.

وقتی GoDaddy هم رجیسترار و هم هاست DNS شماست — که برای اکثر دامنه‌های GoDaddy با استفاده از nameservers GoDaddy چنین است — GoDaddy هر دو نیمه را برای شما انجام می‌دهد. یک toggle را می‌زنید؛ GoDaddy کلیدها را تولید می‌کند و رکورد DS را خودکار در زنجیره ثبت می‌کند. نیازی به کپی کردن مقادیر بین سیستم‌ها نیست.

خطر واقعی — زمانی که به این سادگی نیست

DNSSEC می‌تواند دامنه شما را آفلاین کند اگر اشتباه پیکربندی شود. خطر عمدتاً زمانی پیش می‌آید که رجیسترار و هاست DNS شرکت‌های مختلف باشند، یا وقتی هاست DNS را منتقل می‌کنید:

• اگر دامنه شما در GoDaddy ثبت شده اما DNS در جای دیگری هاست می‌شود، toggle یک‌کلیکی GoDaddy کار کامل را انجام نمی‌دهد — باید امضا را در هاست DNS واقعی فعال کنید و رکورد DS را به صورت دستی در GoDaddy اضافه کنید.
• اگر هرگز DNS را از GoDaddy دور کردید، ابتدا DNSSEC را خاموش کنید. یک رکورد DS باقی‌مانده که دیگر با هیچ هاست امضاکننده فعالی مطابقت ندارد باعث می‌شود جستجوها شکست بخورند و دامنه تاریک شود.

اگر GoDaddy هم رجیسترار و هم هاست DNS است، جریان یک‌کلیکی زیر امن است.

تأیید کنید که GoDaddy DNS شما را اداره می‌کند

این فقط در صورتی اهمیت دارد که GoDaddy واقعاً پاسخ DNS دامنه شما را بدهد. بررسی کنید دامنه شما از nameservers GoDaddy استفاده می‌کند: در حساب GoDaddy، دامنه را باز کنید و تنظیم Nameservers آن را ببینید. اگر nameservers خود GoDaddy را نشان می‌دهد، toggle یک‌کلیکی مسیر درست است. اگر nameservers به سرویس‌دهنده دیگری اشاره می‌کنند (مثلاً یک هاست DNS جداگانه)، DNSSEC را در آن سرویس‌دهنده فعال کنید، سپس رکورد DS که می‌دهد را در GoDaddy اضافه کنید.

راهنمای گام‌به‌گام در GoDaddy (یک‌کلیکی، GoDaddy رجیسترار و هاست DNS است)

1. وارد حساب GoDaddy شوید.
2. به My Products (یا Domain Portfolio) بروید.
3. دامنه‌تان را پیدا کنید و صفحه مدیریت آن را باز کنید — روی نام دامنه یا منوی سه‌نقطه کلیک کنید و Manage DNS / Domain Settings را انتخاب کنید.
4. به بخش Additional Settings بروید (در بعضی حساب‌ها زیر DNS Management ظاهر می‌شود).
5. DNSSEC را پیدا کنید و روی Manage یا toggle کلیک کنید.
6. DNSSEC را به حالت on بزنید.
7. تأیید کنید. GoDaddy کلیدها را تولید می‌کند، zone را امضا می‌کند، و رکورد DS را خودکار در زنجیره منتشر می‌کند — هیچ چیزی برای کپی کردن در جای دیگری نیست.

راهنمای گام‌به‌گام وقتی DNS شما در جای دیگری هاست می‌شود

اگر GoDaddy فقط رجیسترار شماست و شرکت دیگری DNS را هاست می‌کند:

1. ابتدا DNSSEC را در هاست DNS خود فعال کنید و رکورد DS که تولید می‌کند را کپی کنید (به Key Tag، Algorithm، Digest Type، و Digest نیاز خواهید داشت).
2. در GoDaddy، دامنه را باز کنید و بخش DNSSEC را زیر Additional Settings پیدا کنید.
3. اضافه کردن یک رکورد DS را انتخاب کنید و مقادیر هاست DNS خود را دقیقاً وارد کنید.
4. ذخیره کنید. رکورد DS اکنون در zone والد ثبت شده و زنجیره کامل است.

اشتباهات رایج در GoDaddy

• ابتدا بررسی کنید DNS شما کجا هاست می‌شود. toggle ساده یک‌کلیکی فقط وقتی GoDaddy هم رجیسترار و هم هاست DNS است کار کامل را انجام می‌دهد. اگر DNS در جای دیگری قرار دارد، toggle به تنهایی کافی نیست.
• آن را در دو جا فعال نکنید. اگر هاست DNS شما قبلاً zone را امضا می‌کند، فقط رکورد DS آن را در GoDaddy وارد می‌کنید — toggle امضاکننده خود GoDaddy را هم نمی‌زنید، وگرنه دو راه‌اندازی رقیب خواهید داشت.
• مقادیر DS را دقیقاً کپی کنید وقتی به صورت دستی وارد می‌کنید. یک کاراکتر اشتباه در Digest زنجیره را می‌شکند و می‌تواند دامنه را آفلاین کند.
• قبل از انتقال DNS، DNSSEC را خاموش کنید. مهاجرت به یک هاست DNS جدید با یک رکورد DS قدیمی که هنوز در جای خود است روش کلاسیک خاموش کردن یک دامنه است.
• صبور باشید. تغییرات ممکن است از چند دقیقه تا یک روز طول بکشد تا کاملاً منتشر شوند.

تأیید کنید که کار کرد

پس از اینکه DNSSEC فعال شد (و هر رکورد DS در جای خود بود)، بررسی رایگان این سایت را اجرا کنید. به زبان ساده به شما می‌گوید آیا DNSSEC به درستی منتشر شده و برای دامنه شما مورد اعتماد است.

انجام شد؟ دامنه خود را رایگان بررسی کنید تا تأیید کنید که کار کرده — و رتبه کامل خود را در همه ۳۴ بررسی ببینید.