Defaults.Exposed

Defaults.Exposedसुधार › DNSSEC

DNSSEC को कैसे ठीक करें

DNSSEC आपके डोमेन की पता पुस्तक पर एक डिजिटल सील है। यह इंटरनेट को यह साबित करने देता है कि 'यह डोमेन कहाँ रहता है?' के सवाल का जवाब वास्तव में आपसे आया और रास्ते में छेड़छाड़ नहीं हुई। इसके बिना, जवाब जाली बनाया जा सकता है — और आपके विज़िटर चुपचाप कहीं और भेजे जा सकते हैं।

आपके व्यवसाय के लिए मुख्य बात: DNSSEC के बिना, एक हमलावर जो DNS जवाब को जहर दे सकता है, आपके ग्राहकों को आपकी साइट की एक परफेक्ट कॉपी की ओर इशारा कर सकता है जबकि उनके ब्राउज़र में अभी भी आपका वास्तविक डोमेन नाम दिखाई देता है। लॉगिन, कार्ड नंबर और व्यक्तिगत डेटा एकत्र होते हैं, और आपको चार्जबैक और शिकायतों से पता चलता है। एक टूटा हुआ आधा-समाप्त DNSSEC सेटअप और भी बुरा है: यह आपकी साइट को बढ़ते विज़िटर हिस्से के लिए अपहुंचनीय बना सकता है।

यह आपको क्या खर्च कर सकता है

यह क्यों मायने रखता है। DNS इंटरनेट की पता पुस्तक है, और डिफ़ॉल्ट रूप से इसके जवाब unsigned होकर यात्रा करते हैं — जो कोई भी एक जाली जवाब डाल सकता है वह आपके ग्राहकों और आपके ईमेल को कहीं भी भेज सकता है, आपके वास्तविक डोमेन को ब्राउज़र में अभी भी दिखाते हुए। DNSSEC उन जवाबों पर एक छेड़छाड़-प्रूफ सील लगाता है ताकि उन्हें वास्तव में आपका होने के रूप में सत्यापित किया जा सके। अधिकांश प्रदाताओं पर सुधार मुफ्त है।

इसे कैसे ठीक करें, चरण दर चरण

  1. रजिस्ट्रार और DNS होस्ट समर्थन जांचें. शुरू करने से पहले पुष्टि करें कि आपका रजिस्ट्रार और आपका DNS होस्ट दोनों DNSSEC का समर्थन करते हैं।
  2. अपने DNS होस्ट पर signing सक्षम करें. DNSSEC चालू करें; होस्ट आपके जोन पर हस्ताक्षर करता है और एक DS रिकॉर्ड उत्पन्न करता है।
  3. अपने रजिस्ट्रार पर DS रिकॉर्ड प्रकाशित करें. trust की chain पूरी करने के लिए DS रिकॉर्ड को अपने रजिस्ट्रार DNSSEC सेटिंग में कॉपी करें।
  4. प्रसार की अनुमति दें. 24-48 घंटे की अनुमति दें और रास्ते में DNS होस्ट न बदलें, या आप resolution तोड़ सकते हैं।
  5. सत्यापित करें कि यह काम किया. पुनः जांचें यह पुष्टि करने के लिए कि trust की chain अंत से अंत तक validate होती है।

DNSSEC, सरल शब्दों में

हर बार जब कोई आपकी वेबसाइट पर जाता है या आपको ईमेल भेजता है, तो उनका कंप्यूटर पहले इंटरनेट से एक सरल सवाल पूछता है: “यह डोमेन वास्तव में कहाँ रहता है?” जवाब — आपकी साइट और आपके मेल सर्वरों के पते — DNS से आते हैं, इंटरनेट की पता पुस्तक।

यहाँ असुविधाजनक हिस्सा है: डिफ़ॉल्ट रूप से, वे जवाब unsigned यात्रा करते हैं। यदि कोई उस बातचीत में एक जाली जवाब डाल सकता है — और ऐसा करने के सिद्ध तरीके हैं — तो आपके विज़िटर का कंप्यूटर खुशी से इसे स्वीकार करेगा।

DNSSEC सुधार है। यह आपके DNS जवाबों पर एक छेड़छाड़-प्रूफ डिजिटल सील जोड़ता है। एक जाली जवाब जांच में विफल होता है और फेंक दिया जाता है।

यह पेज हमारी जाँच द्वारा देखे जाने वाले दो भागों को कवर करता है: seal प्रकाशित है या नहीं (DS रिकॉर्ड) और उसके पीछे की matching key वास्तव में मौजूद है या नहीं (DNSKEY रिकॉर्ड)।

यह आपको क्या नुकसान पहुंचा सकता है

यह वास्तव में क्या है

DNSSEC trust की chain के रूप में काम करता है, और इसमें दो moving parts हैं जिन्हें एक-दूसरे से सहमत होना होता है।

DNSKEY — आपकी कुंजी। आपका DNS प्रदाता एक cryptographic key रखता है और इसका उपयोग आपके DNS रिकॉर्ड पर हस्ताक्षर करने के लिए करता है।

DS रिकॉर्ड — कुंजी की पुष्टि करने वाला fingerprint। उस कुंजी का एक छोटा fingerprint, जिसे DS (Delegation Signer) रिकॉर्ड कहा जाता है, एक स्तर ऊपर — आपके रजिस्ट्रार के माध्यम से आपके डोमेन के रजिस्ट्री पर प्रकाशित किया जाता है।

DNSSEC आपकी वास्तव में सुरक्षा करे, इसके लिए दोनों मौजूद होने चाहिए और मेल खाने चाहिए:

इसे कैसे ठीक करें (मुफ्त, ~10–30 मिनट)

इस अनुभाग को जो भी आपके डोमेन या वेबसाइट प्रबंधित करता है उसे सौंपें।

स्वर्णिम नियम: पहले signing सक्षम करें (जो DNSKEY बनाता है), फिर रजिस्ट्रार पर DS रिकॉर्ड प्रकाशित करें — कभी उल्टे क्रम में नहीं।

सरल रास्ता (अनुशंसित — Cloudflare):

  1. Cloudflare में, DNS → Settings → DNSSEC → Enable DNSSEC पर जाएं। Cloudflare आपके लिए कुंजियां generate और प्रबंधित करता है।
  2. Cloudflare आपको DS रिकॉर्ड विवरण दिखाता है।
  3. अपने domain registrar (जैसे GoDaddy, Namecheap, OVH) में लॉग इन करें और DNSSEC अनुभाग खोजें। Cloudflare द्वारा दिए गए DS मान paste करें।
  4. पूर्ण प्रसार के लिए 24-48 घंटे प्रतीक्षा करें।

अन्य DNS प्रदाता (AWS Route 53, आपका वेब होस्ट, आदि):

  1. अपने DNS प्रदाता के control panel में DNSSEC / “sign this zone” सक्षम करें।
  2. प्रदाता द्वारा उत्पादित DS रिकॉर्ड कॉपी करें।
  3. अपने रजिस्ट्रार पर DNSSEC सेटिंग में DS रिकॉर्ड जोड़ें।

सत्यापित करें:

सामान्य गलतियाँ

अपने होस्ट पर इसे सेट करें

लोकप्रिय प्रदाताओं के लिए चरण-दर-चरण:

अक्सर पूछे जाने वाले प्रश्न

मैं तकनीकी नहीं हूँ — क्या यह कुछ ऐसा है जिससे मुझे व्यक्तिगत रूप से निपटना है?

नहीं। वास्तविक बदलाव आपके डोमेन के DNS और रजिस्ट्रार सेटिंग में रहता है, इसलिए यह जो भी आपके डोमेन या वेबसाइट प्रबंधित करता है उसके पास है। नीचे 'इसे कैसे ठीक करें' अनुभाग उन्हें सौंपें।

यदि मेरी साइट पर पहले से padlock (HTTPS) है, तो क्या मैं पहले से सुरक्षित नहीं हूँ?

वे अलग-अलग चीजों की सुरक्षा करते हैं। Padlock एक कनेक्शन को सुरक्षित करता है एक बार जब कोई विज़िटर सही सर्वर पर पहुंच जाता है। DNSSEC उससे पहले के कदम की सुरक्षा करता है — यह सुनिश्चित करना कि वे पहले स्थान पर सही सर्वर तक पहुंचें।

क्या DNSSEC चालू करने से मेरी वेबसाइट या ईमेल टूट सकता है?

एक ऐसे प्रदाता द्वारा एक जगह किया गया जो इसका समर्थन करता है, नहीं। जोखिम दो डिस्कनेक्टेड चरणों में करने और केवल एक को पूरा करने से आता है: रजिस्ट्रार पर public 'seal' (DS रिकॉर्ड) प्रकाशित करना जबकि matching key (DNSKEY) गायब या mismatched है।

हम Cloudflare / Google Workspace / Microsoft 365 पर होस्ट हैं — क्या वह कवर करता है?

स्वचालित रूप से नहीं, लेकिन यह इसे आसान बनाता है। Cloudflare के लिए, यह एक-क्लिक enable है। Microsoft 365 और Google Workspace ईमेल संभालते हैं, आपका DNS जोन नहीं।

'DS' और 'DNSKEY' क्या हैं — और यह पेज दोनों का उल्लेख क्यों करता है?

वे एक ताले के दो हिस्से हैं। DNSKEY वह कुंजी है जिसे आपका DNS प्रदाता रखता है और आपके रिकॉर्ड पर हस्ताक्षर करने के लिए उपयोग करता है। DS उस कुंजी का एक fingerprint है, जो आपके रजिस्ट्रार पर एक स्तर ऊपर प्रकाशित है। दोनों मौजूद होने चाहिए और मेल खाने चाहिए।

यह कब तक काम करेगा, और मैं कैसे पुष्टि करूं?

पूर्ण प्रसार के लिए 24-48 घंटे दें; आपकी मौजूदा साइट और ईमेल पूरे समय काम करती रहती है यदि यह सही तरीके से किया जाए।