Defaults.Exposed › Asennus › DNSSEC

DNSSEC:n käyttöönotto GoDaddyssa

Ota DNSSEC käyttöön GoDaddyssä yhdellä kytkimellä, jotta kukaan ei pysty väärentämään DNS-vastauksiasi ja kaappaamaan verkkotunnustasi.

Miksi tämä on tärkeää yrityksellesi

Kun joku vierailee verkkosivustollasi tai lähettää sinulle sähköpostia, heidän tietokoneensa kyselee ensin DNS-järjestelmältä oikeaa osoitetta. Nämä vastaukset kulkevat normaalisti allekirjoittamattomina, joten hyökkääjä, joka pystyy manipuloimaan hakua, voi hiljaa ohjata vierailijasi väärennetylle sivustolle tai uudelleenohjata sähköpostisi omalle palvelimelleen — samalla kun oikea verkkotunnuksesi näkyy edelleen osoiterivillä.

DNSSEC estää tämän. Se allekirjoittaa DNS-vastauksesi kryptografisesti, joten kuka tahansa sinua etsivä pystyy todistamaan, että vastaus tuli oikeasti sinulta eikä sitä muutettu siirron aikana. Käytännössä: se estää verkkotunnuksen kaappaamisen ja välimuistimyrkytyksen — hyökkäykset, jotka kääntävät oman verkkotunnuksesi asiakkaitasi vastaan. Se on ilmainen, ja GoDaddyssä se on yleensä vain yksi kytkin.

Miten DNSSEC toimii (ja miksi GoDaddy on helppo tässä)

DNSSEC:ssä on kaksi puoliskoa: DNS-isäntä allekirjoittaa tietureesi ja julkaisee avaimet (DNSKEY) sekä pienen sormenjäljen nimeltä DS-tietue, ja rekisteröijä toimittaa tämän DS-tietueen ylätason vyöhykkeeseen, jotta muu internet voi luottaa allekirjoituksiin.

Kun GoDaddy on sekä rekisteröijäsi että DNS-isäntäsi — mikä on tilanne useimmilla GoDaddy-verkkotunnuksilla, jotka käyttävät GoDaddyn nimipalvelimia — GoDaddy hoitaa molemmat puoliskot puolestasi. Käännät yhden kytkimen; GoDaddy generoi avaimet ja toimittaa DS-tietueen ylöspäin automaattisesti. Mitään arvoja ei tarvitse kopioida järjestelmien välillä.

Todellinen riski — kun se ei ole niin yksinkertaista

DNSSEC voi poistaa verkkotunnuksesi käytöstä, jos se on väärin konfiguroitu. Vaara syntyy pääasiassa, kun rekisteröijä ja DNS-isäntä ovat eri yrityksiä, tai kun siirrät DNS-isäntää:

• Jos verkkotunnuksesi on rekisteröity GoDaddyssä mutta DNS on isännöity muualla, GoDaddyn yhden napsautuksen kytkin ei päde — sinun täytyy ottaa allekirjoitus käyttöön oikealla DNS-isännälläsi ja lisätä DS-tietue GoDaddyyn käsin.
• Jos aiot koskaan siirtää DNS:n pois GoDaddystä, sammuta DNSSEC ensin. Jäljelle jäänyt DS-tietue, joka ei enää vastaa mitään aktiivista allekirjoitusisäntää, aiheuttaa hakujen epäonnistumisen ja verkkotunnus pimeytyy.

Jos GoDaddy on sekä rekisteröijä että DNS-isäntä, alla oleva yhden napsautuksen kulku on turvallinen.

Varmista, että GoDaddy hallinnoi DNS:äsi

Tällä on merkitystä vain, jos GoDaddy oikeasti vastaa DNS-kyselyihin verkkotunnuksellesi. Tarkista, että verkkotunnuksesi käyttää GoDaddyn nimipalvelimia: avaa GoDaddy-tilillasi verkkotunnus ja katso sen Nameservers-asetus. Jos siinä näkyy GoDaddyn omat nimipalvelimet, yhden napsautuksen kytkin on oikea tapa. Jos nimipalvelimet osoittavat toiselle palveluntarjoajalle (esimerkiksi erilliselle DNS-isännälle), ota DNSSEC käyttöön siellä ja lisää sitten sen antama DS-tietue GoDaddyyn.

Vaiheittaiset ohjeet GoDaddyssa (yhden napsautuksen kulku, GoDaddy on rekisteröijä ja DNS-isäntä)

1. Kirjaudu sisään GoDaddy-tiliisi.
2. Siirry kohtaan My Products (tai Domain Portfolio).
3. Etsi verkkotunnuksesi ja avaa sen hallintasivu — napsauta verkkotunnuksen nimeä tai kolmen pisteen valikkoa ja valitse Manage DNS / Domain Settings.
4. Vieritä alas kohtaan Additional Settings (joissakin tileissä se näkyy DNS Management -kohdassa).
5. Etsi DNSSEC ja napsauta Manage tai kytkintä.
6. Aseta DNSSEC tilaan on.
7. Vahvista. GoDaddy generoi avaimet, allekirjoittaa vyöhykkeen ja julkaisee DS-tietueen ylöspäin puolestasi — mitään ei tarvitse kopioida muualle.

Vaiheittaiset ohjeet, kun DNS on isännöity muualla

Jos GoDaddy on vain rekisteröijäsi ja toinen yritys isännöi DNS:äsi:

1. Ota DNSSEC käyttöön ensin DNS-isännälläsi ja kopioi sen tuottama DS-tietue (tarvitset Key Tag:in, Algorithm:in, Digest Type:n ja Digest:in).
2. Avaa GoDaddyssä verkkotunnus ja etsi DNSSEC-osio Additional Settings -kohdasta.
3. Valitse add DS-tietue ja syötä DNS-isäntäsi arvot täsmälleen.
4. Tallenna. DS-tietue on nyt toimitettu ylätason vyöhykkeeseen, jolloin ketju on täydellinen.

GoDaddy-erityiset virheet

• Tarkista ensin, kuka isännöi DNS:äsi. Yksinkertainen yhden napsautuksen kytkin hoitaa kaiken vain, kun GoDaddy on sekä rekisteröijä että DNS-isäntä. Jos DNS on muualla, kytkin yksinään ei riitä.
• Älä ota käyttöön kahdessa paikassa. Jos DNS-isäntäsi jo allekirjoittaa vyöhykkeen, lisäät vain sen DS-tietueen GoDaddyyn — et myös käännä GoDaddyn omaa allekirjoituskytkintä, muutoin sinulla on kaksi kilpailevaa asetusta.
• Kopioi DS-arvot täsmälleen kun syötät ne käsin. Yksikin väärä merkki Digestissä rikkoo ketjun ja voi poistaa verkkotunnuksen käytöstä.
• Sammuta DNSSEC ennen DNS:n siirtoa. Siirtyminen uudelle DNS-isännälle vanhan DS-tietueen vielä ollessa paikallaan on klassinen tapa kaataa verkkotunnus käytöstä.
• Anna muutoksille aikaa. Muutokset voivat kestää muutamasta minuutista vuorokauteen ennen kuin ne leviävät täysin.

Tarkista, että se toimi

Kun DNSSEC on kytketty päälle (ja mahdollinen DS-tietue on paikoillaan), aja ilmainen tarkistus tällä sivustolla. Se kertoo selkokielellä, onko DNSSEC julkaistu ja luotettu verkkotunnuksellesi oikein.

Valmis? Tarkista verkkotunnuksesi ilmaiseksi vahvistaaksesi, että se toimi — ja nähdäksesi koko arvosanasi kaikissa 34 tarkistuksessa.