Defaults.Exposed › Asennus › DNSSEC

DNSSEC:n käyttöönotto Cloudflaressa

Ota DNSSEC käyttöön Cloudflaressa ja lisää DS-tietue rekisteröijällesi, jotta kukaan ei pysty väärentämään DNS-vastauksiasi.

Miksi tämä on tärkeää yrityksellesi

Kun joku kirjoittaa verkkotunnuksesi tai lähettää sinulle sähköpostia, heidän tietokoneensa kyselee DNS-järjestelmältä oikeaa osoitetta. Normaalisti nämä vastaukset kulkevat allekirjoittamattomina, mikä tarkoittaa, että hyökkääjä, joka pystyy manipuloimaan niitä, voi hiljaa ohjata vierailijasi väärennetylle verkkosivustolle tai uudelleenohjata sähköpostisi omalle palvelimelleen. Asiakkaasi näkevät oikean verkkotunnuksesi osoiterivillä koko ajan.

DNSSEC sulkee tämän aukon. Se allekirjoittaa DNS-vastauksesi kryptografisesti, joten sinua etsivä henkilö pystyy todistamaan, että vastaus tuli oikeasti sinulta eikä sitä muutettu matkalla. Käytännössä: se estää rikollisia kaappaamasta verkkotunnustasi tai myrkyttämästä hakuja, jotka ohjaavat ihmisiä sinun luoksesi. Se on ilmainen, ja se on yksi vahvimmista suojauksista, jonka voit ottaa käyttöön kaiken muun perustalle.

Miten DNSSEC toimii (jotta vaiheet ovat ymmärrettäviä)

DNSSEC:ssä on kaksi puoliskoa kahdessa paikassa:

• DNS-isäntäsi (Cloudflare) allekirjoittaa tietueesi ja julkaisee julkiset avaimet (DNSKEY) sekä niiden pienen sormenjäljen nimeltä DS-tietue.
• Rekisteröijäsi (yritys, jolta ostat ja uusit verkkotunnuksen) julkaisee tämän DS-tietueen ylöspäin ylätason vyöhykkeeseen (esimerkiksi .com).

DS-tietue rekisteröijällä on luottamusketjun lenkki. Cloudflare voi allekirjoittaa koko päivän, mutta ennen kuin vastaava DS-tietue on toimitettu rekisteröijällesi, laajemmalla internetillä ei ole allekirjoitettua tapaa luottaa näihin allekirjoituksiin. Työ on siis kaksiosainen: ota se käyttöön Cloudflaressa, sitten toimita DS-tietue rekisteröijällesi.

Todellinen riski — tee tämä huolellisesti

DNSSEC voi poistaa koko verkkotunnuksesi käytöstä, jos se tehdään väärin. Kaksi tapaa, joilla tämä tapahtuu:

• DS-tietueen julkaiseminen rekisteröijällä, joka ei vastaa sitä, millä avaimella DNS-isäntäsi oikeasti allekirjoittaa.
• DNS:n siirtäminen toiselle isännälle (tai Cloudflaren sammuttaminen) poistamatta ensin DS-tietuetta rekisteröijältä — vanha DS-tietue vaatii edelleen allekirjoituksia, joita ei enää ole, ja haut alkavat epäonnistua.

Kumpikaan ei ole vaarallinen, jos seuraat alla olevaa kulkua järjestyksessä eikä koskaan poista DS-tietuetta rekisteröijältä, kun Cloudflare on vielä allekirjoitusisäntäsi. Jos suunnittelet joskus siirtymistä pois Cloudflaresta, poista ensin DNSSEC käytöstä ja poista DS-tietue rekisteröijältä, sitten siirrä.

Varmista, että Cloudflare hallinnoi DNS:äsi

Tämä toimii vain, jos Cloudflare vastaa verkkotunnuksesi DNS-kyselyihin. Cloudflare on DNS-isäntäsi, ei välttämättä yritys, jolta ostit verkkotunnuksen. Cloudflaren DNS on aktiivinen vain, kun verkkotunnuksesi nimipalvelimet osoittavat kojetaulussa näkyviin Cloudflare-nimipalvelimiin. Avaa verkkotunnuksesi Cloudflaressa ja tarkista Overview-sivulta, että Cloudflare on aktiivinen. Jos nimipalvelimesi osoittavat muualle, ota DNSSEC käyttöön sillä palveluntarjoajalla, joka hallinnoi DNS:äsi.

Vaiheittaiset ohjeet Cloudflaressa

1. Kirjaudu sisään Cloudflareen ja valitse verkkotunnuksesi.
2. Siirry vasemmasta valikosta kohtaan DNS, sitten Settings (vanhemmissa kojetauluissa DNSSEC-osio näkyy suoraan DNS-kohdassa).
3. Etsi DNSSEC ja napsauta Enable DNSSEC.
4. Cloudflare näyttää arvojen paneelin — tärkein on DS-tietue. Näet tyypillisesti kentät kuten Key Tag, Algorithm, Digest Type, Digest ja valmiin yhden rivin DS-tietueen. Jätä tämä paneeli auki; sinun täytyy kopioida nämä rekisteröijällesi.
5. Kirjaudu nyt sisään rekisteröijällesi (yritys, jolla uusit verkkotunnuksen — tämä voi olla tai ei voi olla Cloudflare).
6. Etsi rekisteröijältäsi verkkotunnuksesi DNSSEC- tai DS-tietue -osio ja lisää uusi DS-tietue käyttäen täsmälleen Cloudflaren antamia arvoja:
   • Key Tag — Cloudflaren näyttämä numero.
   • Algorithm — yleensä 13 (ECDSA P-256 SHA-256).
   • Digest Type — yleensä 2 (SHA-256).
   • Digest — pitkä heksadesimaalimerkkijono, kopioituna täsmälleen.
7. Tallenna rekisteröijällä. Jos rekisteröijäsi antaa liittää yhden yhdistetyn DS-tietuerivin erillisten kenttien sijaan, käytä Cloudflaren näyttämää koko DS-riviä.
8. Takaisin Cloudflaressa, kun rekisteröijä on hyväksynyt DS-tietueen, Cloudflaren DNSSEC-tila siirtyy aktiiviseksi (tämä voi kestää hetken vahvistua).

Cloudflare-erityiset virheet

• Kaksi järjestelmää, ei yksi. DNSSEC:n käyttöönotto Cloudflaressa yksinään ei tee mitään — DS-tietue täytyy myös toimittaa rekisteröijällesi. Monet pysähtyvät vaiheen 3 jälkeen ja ihmettelevät, miksi se ei koskaan aktivoidu.
• Kopioi digest täsmälleen. Yksikin väärä tai puuttuva merkki Digestissä tarkoittaa, että rekisteröijän DS-tietue ei vastaa Cloudflaren allekirjoituksia — tämä on juuri se virheellinen konfiguraatio, joka poistaa verkkotunnuksen käytöstä. Kopioi ja liitä; älä koskaan kirjoita uudelleen.
• Täsmäytä algoritmi- ja digest-tyyppinumerot. Jos rekisteröijäsi pyytää näitä erikseen, käytä Cloudflaren näyttämiä arvoja — älä arvaa.
• Jos Cloudflare on myös rekisteröijäsi, DS-vaihe hoidetaan sisäisesti eikä sinulle ehkä näytetä erillistä rekisteröijälomaketta — mutta varmista, että DNSSEC näyttää aktiiviselta ennen kuin olettaa asian olevan kunnossa.
• Älä koskaan poista DS-tietuetta, kun Cloudflare allekirjoittaa edelleen. Ja jos aiot siirtää DNS:n pois Cloudflaresta, poista DNSSEC käytöstä ja poista DS-tietue rekisteröijältä ennen siirtoa.
• Anna muutoksille aikaa. DNSSEC-muutokset voivat kestää muutamasta minuutista vuorokauteen ennen kuin ne leviävät täysin ja näkyvät aktiivisina.

Tarkista, että se toimi

Kun DNSSEC näyttää aktiiviselta Cloudflaressa ja DS-tietue on rekisteröijälläsi, aja ilmainen tarkistus tällä sivustolla. Se kertoo selkokielellä, onko DNSSEC julkaistu ja luotettu verkkotunnuksellesi oikein.

Valmis? Tarkista verkkotunnuksesi ilmaiseksi vahvistaaksesi, että se toimi — ja nähdäksesi koko arvosanasi kaikissa 34 tarkistuksessa.