Defaults.Exposed › הגדרה › DNSSEC

כיצד להגדיר DNSSEC ב-Cloudflare

הפעל DNSSEC ב-Cloudflare והוסף את רשומת DS אצל הרשם שלך כדי שאף אחד לא יוכל לזייף את תשובות ה-DNS שלך.

למה זה חשוב לעסק שלך

כאשר מישהו מקליד את הדומיין שלך או שולח לך דואר אלקטרוני, המחשב שלו שואל את מערכת ה-DNS על הכתובת הנכונה. בדרך כלל תשובות אלה מועברות ללא חתימה, מה שאומר שתוקף שמסוגל להתערב בהן יכול בשקט להפנות את המבקרים שלך לאתר מזויף או להפנות את הדואר שלך לשרת שלו. הלקוחות שלך רואים את הדומיין האמיתי שלך בשורת הכתובת כל הזמן.

DNSSEC סוגר את הפרצה הזו. הוא חותם קריפטוגרפית את תשובות ה-DNS שלך, כך שמי שמחפש אותך יכול להוכיח שהתשובה אכן הגיעה ממך ולא שונתה בדרך. במילים פשוטות: הוא מונע מפושעים לחטוף את הדומיין שלך או להרעיל את הבדיקות שמפנות אנשים אליך. זה בחינם, וזוהי אחת ההגנות החזקות ביותר שתוכל להפעיל על הבסיס שעליו כל השאר נשען.

כיצד DNSSEC עובד (כדי שהשלבים יהיו הגיוניים)

ל-DNSSEC יש שני חצאים הנמצאים בשני מקומות:

• מארח ה-DNS שלך (Cloudflare) חותם את הרשומות שלך ומפרסם את המפתחות הציבוריים (DNSKEY) בתוספת טביעת אצבע קצרה שלהם הנקראת רשומת DS.
• הרשם שלך (המקום שבו קנית ומחדש את הדומיין) מפרסם את רשומת DS עד לאזור האב (לדוגמה .com).

רשומת DS אצל הרשם היא החוליה בשרשרת האמון. Cloudflare יכול לחתום כל היום, אך עד שרשומת ה-DS התואמת תירשם אצל הרשם, לאינטרנט הרחב אין דרך חתומה לסמוך על אותן חתימות. לכן העבודה היא שני שלבים: הפעל ב-Cloudflare, ואז מסור את רשומת ה-DS לרשם שלך.

הסיכון האמיתי — בצע זאת בזהירות

DNSSEC יכול להוציא את כל הדומיין שלך מהאוויר אם הוא מוגדר לא נכון. שתי הדרכים שבהן זה קורה:

• פרסום רשומת DS אצל הרשם שאינה תואמת למה שמארח ה-DNS שלך חותם בפועל.
• מעבר ה-DNS לשרת אחר (או כיבוי Cloudflare) מבלי להסיר קודם את רשומת ה-DS אצל הרשם — רשומת ה-DS הישנה ממשיכה לדרוש חתימות שכבר לא קיימות, והבדיקות מתחילות להיכשל.

אף אחד מהמצבים אינו מסוכן אם פועלים לפי הזרימה הבאה בסדר הנכון ולעולם לא מוחקים את רשומת ה-DS אצל הרשם בזמן ש-Cloudflare עדיין מארח ה-DNS החותם. אם מתכננים לעזוב את Cloudflare — השבת DNSSEC והסר את רשומת ה-DS אצל הרשם קודם, ואז עבור.

וודא ש-Cloudflare מנהל את ה-DNS שלך

זה יעבוד רק אם Cloudflare הוא שמטפל ב-DNS של הדומיין שלך. Cloudflare הוא מארח ה-DNS שלך, לא בהכרח החברה שממנה קנית את הדומיין. ה-DNS של Cloudflare פעיל רק כאשר שרתי השמות של הדומיין מצביעים לשרתי Cloudflare המוצגים בלוח הבקרה שלך. פתח את הדומיין ב-Cloudflare ובדוק בדף Overview שהוא פעיל. אם שרתי השמות מצביעים למקום אחר, הפעל DNSSEC אצל הספק שמנהל את ה-DNS שלך.

שלב אחר שלב ב-Cloudflare

1. היכנס ל-Cloudflare ובחר את הדומיין שלך.
2. בתפריט הצד, עבור ל-DNS, ואז Settings (לוחות ישנים מציגים את קטע DNSSEC ישירות תחת DNS).
3. מצא את DNSSEC ולחץ Enable DNSSEC.
4. Cloudflare יציג לוח ערכים — החשוב שבהם הוא רשומת ה-DS. בדרך כלל תראה שדות כגון Key Tag, Algorithm, Digest Type, Digest, ושורת DS record מוכנה. השאר לוח זה פתוח; עליך להעתיק את הערכים אלה לרשם שלך.
5. כעת היכנס לרשם שלך (החברה שבה אתה מחדש את הדומיין — יכולה להיות Cloudflare עצמה או חברה אחרת).
6. מצא את קטע DNSSEC או רשומת DS לדומיין שלך אצל הרשם והוסף רשומת DS חדשה עם הערכים המדויקים שסיפק Cloudflare:
   • Key Tag — המספר שמציג Cloudflare.
   • Algorithm — בדרך כלל 13 (ECDSA P-256 SHA-256).
   • Digest Type — בדרך כלל 2 (SHA-256).
   • Digest — מחרוזת ההקסדצימל הארוכה, מועתקת בדיוק.
7. שמור אצל הרשם. אם הרשם שלך מאפשר להדביק שורת DS משולבת אחת במקום שדות נפרדים, השתמש בשורת ה-DS המלאה שהציג Cloudflare.
8. חזור ל-Cloudflare; לאחר שהרשם קיבל את רשומת ה-DS, מצב DNSSEC של Cloudflare יעבור ל-active (זה יכול לקחת זמן קצר לאישור).

טעויות נפוצות ב-Cloudflare

• שתי מערכות, לא אחת. הפעלת DNSSEC ב-Cloudflare לבדה אינה עושה כלום — רשומת ה-DS חייבת גם להגיע לרשם. אנשים עוצרים אחרי שלב 3 ותוהים מדוע זה לא הופך פעיל.
• העתק את ה-Digest בדיוק. תו אחד שגוי או חסר ב-Digest יגרום לרשומת ה-DS אצל הרשם לא להתאים לחתימות של Cloudflare — זהו בדיוק התצורה השגויה שמוציאה דומיין מהאוויר. העתק-הדבק; לעולם אל תקליד מחדש.
• התאם את מספרי ה-algorithm וה-digest-type. אם הרשם שלך מבקש אלה בנפרד, השתמש בערכים שמציג Cloudflare — אל תנחש.
• אם Cloudflare הוא גם הרשם שלך, שלב ה-DS מטופל פנימית ייתכן שלא תראה טופס רשם נפרד — אך אמת ש-DNSSEC מוצג כ-active לפני שתניח שהסתיים.
• לעולם אל תסיר את רשומת ה-DS בזמן ש-Cloudflare עדיין חותם. ואם אי פעם תעבור DNS אחר, השבת DNSSEC ונקה את רשומת ה-DS אצל הרשם לפני המעבר.
• תן זמן. שינויי DNSSEC יכולים לקחת מספר דקות עד יום להתפשט ולהופיע כ-active.

אמת שזה עבד

לאחר שה-DNSSEC מוצג כ-active ב-Cloudflare ורשומת ה-DS קיימת אצל הרשם, הפעל את הבדיקה החינמית באתר זה. היא תאמר לך בשפה ברורה האם DNSSEC מפורסם ואמין כראוי עבור הדומיין שלך.

סיימתם? בדקו את הדומיין שלכם בחינם כדי לאשר שזה עבד — וראו את הציון המלא שלכם על פני כל 34 הבדיקות.