Defaults.Exposed › सुधार › DNSSEC
DNSSEC को कैसे ठीक करें
DNSSEC आपके डोमेन की पता पुस्तक पर एक डिजिटल सील है। यह इंटरनेट को यह साबित करने देता है कि 'यह डोमेन कहाँ रहता है?' के सवाल का जवाब वास्तव में आपसे आया और रास्ते में छेड़छाड़ नहीं हुई। इसके बिना, जवाब जाली बनाया जा सकता है — और आपके विज़िटर चुपचाप कहीं और भेजे जा सकते हैं।
आपके व्यवसाय के लिए मुख्य बात: DNSSEC के बिना, एक हमलावर जो DNS जवाब को जहर दे सकता है, आपके ग्राहकों को आपकी साइट की एक परफेक्ट कॉपी की ओर इशारा कर सकता है जबकि उनके ब्राउज़र में अभी भी आपका वास्तविक डोमेन नाम दिखाई देता है। लॉगिन, कार्ड नंबर और व्यक्तिगत डेटा एकत्र होते हैं, और आपको चार्जबैक और शिकायतों से पता चलता है। एक टूटा हुआ आधा-समाप्त DNSSEC सेटअप और भी बुरा है: यह आपकी साइट को बढ़ते विज़िटर हिस्से के लिए अपहुंचनीय बना सकता है।
यह आपको क्या खर्च कर सकता है
- आपका वास्तविक डोमेन टाइप करने वाले विज़िटर चुपचाप एक नकल साइट पर रीडायरेक्ट हो जाते हैं जो उनका पासवर्ड और कार्ड विवरण कैप्चर करती है।
- आपका ईमेल चुपचाप रीरूट हो जाता है: एक हमलावर आपके मेल सर्वर के जवाब को जाली बनाता है, संदेश पढ़ता है या इंटरसेप्ट करता है।
- एक आधा-कॉन्फ़िगर किया गया DNSSEC सेटअप (public seal मौजूद है लेकिन matching key गायब है) बड़े ISP और कॉर्पोरेट नेटवर्क पर ग्राहकों के लिए आपकी वेबसाइट और ईमेल यादृच्छिक रूप से विफल करता है।
- एक संभावित ग्राहक की सुरक्षा टीम एक पूर्व-अनुबंध जांच चलाती है, कोई DNSSEC नहीं देखती, और आपको मूल बातों पर कमजोर के रूप में चिह्नित करती है।
- सार्वजनिक-क्षेत्र और बड़े B2B खरीदार तेजी से आधारभूत के रूप में DNSSEC की उम्मीद करते हैं।
यह क्यों मायने रखता है। DNS इंटरनेट की पता पुस्तक है, और डिफ़ॉल्ट रूप से इसके जवाब unsigned होकर यात्रा करते हैं — जो कोई भी एक जाली जवाब डाल सकता है वह आपके ग्राहकों और आपके ईमेल को कहीं भी भेज सकता है, आपके वास्तविक डोमेन को ब्राउज़र में अभी भी दिखाते हुए। DNSSEC उन जवाबों पर एक छेड़छाड़-प्रूफ सील लगाता है ताकि उन्हें वास्तव में आपका होने के रूप में सत्यापित किया जा सके। अधिकांश प्रदाताओं पर सुधार मुफ्त है।
इसे कैसे ठीक करें, चरण दर चरण
- रजिस्ट्रार और DNS होस्ट समर्थन जांचें. शुरू करने से पहले पुष्टि करें कि आपका रजिस्ट्रार और आपका DNS होस्ट दोनों DNSSEC का समर्थन करते हैं।
- अपने DNS होस्ट पर signing सक्षम करें. DNSSEC चालू करें; होस्ट आपके जोन पर हस्ताक्षर करता है और एक DS रिकॉर्ड उत्पन्न करता है।
- अपने रजिस्ट्रार पर DS रिकॉर्ड प्रकाशित करें. trust की chain पूरी करने के लिए DS रिकॉर्ड को अपने रजिस्ट्रार DNSSEC सेटिंग में कॉपी करें।
- प्रसार की अनुमति दें. 24-48 घंटे की अनुमति दें और रास्ते में DNS होस्ट न बदलें, या आप resolution तोड़ सकते हैं।
- सत्यापित करें कि यह काम किया. पुनः जांचें यह पुष्टि करने के लिए कि trust की chain अंत से अंत तक validate होती है।
DNSSEC, सरल शब्दों में
हर बार जब कोई आपकी वेबसाइट पर जाता है या आपको ईमेल भेजता है, तो उनका कंप्यूटर पहले इंटरनेट से एक सरल सवाल पूछता है: “यह डोमेन वास्तव में कहाँ रहता है?” जवाब — आपकी साइट और आपके मेल सर्वरों के पते — DNS से आते हैं, इंटरनेट की पता पुस्तक।
यहाँ असुविधाजनक हिस्सा है: डिफ़ॉल्ट रूप से, वे जवाब unsigned यात्रा करते हैं। यदि कोई उस बातचीत में एक जाली जवाब डाल सकता है — और ऐसा करने के सिद्ध तरीके हैं — तो आपके विज़िटर का कंप्यूटर खुशी से इसे स्वीकार करेगा।
DNSSEC सुधार है। यह आपके DNS जवाबों पर एक छेड़छाड़-प्रूफ डिजिटल सील जोड़ता है। एक जाली जवाब जांच में विफल होता है और फेंक दिया जाता है।
यह पेज हमारी जाँच द्वारा देखे जाने वाले दो भागों को कवर करता है: seal प्रकाशित है या नहीं (DS रिकॉर्ड) और उसके पीछे की matching key वास्तव में मौजूद है या नहीं (DNSKEY रिकॉर्ड)।
यह आपको क्या नुकसान पहुंचा सकता है
-
अदृश्य redirect। एक हमलावर आपके डोमेन के DNS जवाब को जहर देता है। ग्राहक आपका वास्तविक वेब पता टाइप करते हैं, बार में आपका वास्तविक डोमेन देखते हैं, और हमलावर द्वारा होस्ट किए गए एक परफेक्ट login या checkout पेज की कॉपी पर उतरते हैं।
-
शांत ईमेल इंटरसेप्शन। DNS आपकी वेबसाइट की ओर ही नहीं; यह आपके मेल सर्वरों की ओर भी इशारा करता है। उस जवाब को जाली बनाएं और इनबाउंड ईमेल पहले एक हमलावर के माध्यम से रूट हो सकता है।
-
वह आउटेज जिसे आप पुन: उत्पन्न नहीं कर सकते। यह एक आधा-समाप्त DNSSEC सेटअप से आता है। public seal (DS) आपके रजिस्ट्रार पर बैठा है, लेकिन matching key (DNSKEY) गायब या गलत है। DNSSEC की जांच करने वाले ISP और कॉर्पोरेट नेटवर्क पर विज़िटर आपके डोमेन को बिल्कुल resolve नहीं कर पाते।
-
खोया सौदा। एक संभावित ग्राहक की सुरक्षा टीम एक नियमित पूर्व-अनुबंध स्कैन चलाती है। कोई DNSSEC नहीं “DNS सुरक्षा बुनियादी” पर एक लाल निशान के रूप में दिखाई देता है।
यह वास्तव में क्या है
DNSSEC trust की chain के रूप में काम करता है, और इसमें दो moving parts हैं जिन्हें एक-दूसरे से सहमत होना होता है।
DNSKEY — आपकी कुंजी। आपका DNS प्रदाता एक cryptographic key रखता है और इसका उपयोग आपके DNS रिकॉर्ड पर हस्ताक्षर करने के लिए करता है।
DS रिकॉर्ड — कुंजी की पुष्टि करने वाला fingerprint। उस कुंजी का एक छोटा fingerprint, जिसे DS (Delegation Signer) रिकॉर्ड कहा जाता है, एक स्तर ऊपर — आपके रजिस्ट्रार के माध्यम से आपके डोमेन के रजिस्ट्री पर प्रकाशित किया जाता है।
DNSSEC आपकी वास्तव में सुरक्षा करे, इसके लिए दोनों मौजूद होने चाहिए और मेल खाने चाहिए:
- DS मौजूद + DNSKEY मौजूद और मेल खाते → अच्छा। Trust की chain पूर्ण है।
- कोई DS नहीं (और कोई DNSKEY नहीं) → DNSSEC बस चालू नहीं है। कोई सुरक्षा नहीं, लेकिन कुछ टूटा नहीं।
- DS मौजूद, लेकिन DNSKEY गायब या mismatched → टूटा, और बंद से भी बुरा। DNSSEC-validating resolvers पर विज़िटर आपके डोमेन को resolve नहीं कर सकते। यह सबसे तत्काल state है।
इसे कैसे ठीक करें (मुफ्त, ~10–30 मिनट)
इस अनुभाग को जो भी आपके डोमेन या वेबसाइट प्रबंधित करता है उसे सौंपें।
स्वर्णिम नियम: पहले signing सक्षम करें (जो DNSKEY बनाता है), फिर रजिस्ट्रार पर DS रिकॉर्ड प्रकाशित करें — कभी उल्टे क्रम में नहीं।
सरल रास्ता (अनुशंसित — Cloudflare):
- Cloudflare में, DNS → Settings → DNSSEC → Enable DNSSEC पर जाएं। Cloudflare आपके लिए कुंजियां generate और प्रबंधित करता है।
- Cloudflare आपको DS रिकॉर्ड विवरण दिखाता है।
- अपने domain registrar (जैसे GoDaddy, Namecheap, OVH) में लॉग इन करें और DNSSEC अनुभाग खोजें। Cloudflare द्वारा दिए गए DS मान paste करें।
- पूर्ण प्रसार के लिए 24-48 घंटे प्रतीक्षा करें।
अन्य DNS प्रदाता (AWS Route 53, आपका वेब होस्ट, आदि):
- अपने DNS प्रदाता के control panel में DNSSEC / “sign this zone” सक्षम करें।
- प्रदाता द्वारा उत्पादित DS रिकॉर्ड कॉपी करें।
- अपने रजिस्ट्रार पर DNSSEC सेटिंग में DS रिकॉर्ड जोड़ें।
सत्यापित करें:
dig DS yourdomain.comऔरdig DNSKEY yourdomain.comचलाएं — दोनों रिकॉर्ड वापस करने चाहिए।- किसी भी मुफ्त ऑनलाइन DNSSEC checker का उपयोग करें।
सामान्य गलतियाँ
- key मौजूद होने से पहले DS प्रकाशित करना। सबसे हानिकारक गलती।
- providers बदलने के बाद एक stale DS पीछे छोड़ना। यदि आप DNS providers switch करते हैं लेकिन पुराना DS रिकॉर्ड हटाना भूल जाते हैं।
- चरण एक पर रुकना। DNS प्रदाता पर signing सक्षम करना लेकिन रजिस्ट्रार पर DS कभी नहीं जोड़ना।
- यह मानना कि HTTPS या ईमेल authentication पहले से कवर करता है।
- Enable करने के बाद monitor नहीं करना।
अपने होस्ट पर इसे सेट करें
लोकप्रिय प्रदाताओं के लिए चरण-दर-चरण:
- GoDaddy पर DNSSEC सेट करें
- Namecheap पर DNSSEC सेट करें
- Cloudflare पर DNSSEC सेट करें
- AWS Route 53 पर DNSSEC सेट करें
अक्सर पूछे जाने वाले प्रश्न
मैं तकनीकी नहीं हूँ — क्या यह कुछ ऐसा है जिससे मुझे व्यक्तिगत रूप से निपटना है?
नहीं। वास्तविक बदलाव आपके डोमेन के DNS और रजिस्ट्रार सेटिंग में रहता है, इसलिए यह जो भी आपके डोमेन या वेबसाइट प्रबंधित करता है उसके पास है। नीचे 'इसे कैसे ठीक करें' अनुभाग उन्हें सौंपें।
यदि मेरी साइट पर पहले से padlock (HTTPS) है, तो क्या मैं पहले से सुरक्षित नहीं हूँ?
वे अलग-अलग चीजों की सुरक्षा करते हैं। Padlock एक कनेक्शन को सुरक्षित करता है एक बार जब कोई विज़िटर सही सर्वर पर पहुंच जाता है। DNSSEC उससे पहले के कदम की सुरक्षा करता है — यह सुनिश्चित करना कि वे पहले स्थान पर सही सर्वर तक पहुंचें।
क्या DNSSEC चालू करने से मेरी वेबसाइट या ईमेल टूट सकता है?
एक ऐसे प्रदाता द्वारा एक जगह किया गया जो इसका समर्थन करता है, नहीं। जोखिम दो डिस्कनेक्टेड चरणों में करने और केवल एक को पूरा करने से आता है: रजिस्ट्रार पर public 'seal' (DS रिकॉर्ड) प्रकाशित करना जबकि matching key (DNSKEY) गायब या mismatched है।
हम Cloudflare / Google Workspace / Microsoft 365 पर होस्ट हैं — क्या वह कवर करता है?
स्वचालित रूप से नहीं, लेकिन यह इसे आसान बनाता है। Cloudflare के लिए, यह एक-क्लिक enable है। Microsoft 365 और Google Workspace ईमेल संभालते हैं, आपका DNS जोन नहीं।
'DS' और 'DNSKEY' क्या हैं — और यह पेज दोनों का उल्लेख क्यों करता है?
वे एक ताले के दो हिस्से हैं। DNSKEY वह कुंजी है जिसे आपका DNS प्रदाता रखता है और आपके रिकॉर्ड पर हस्ताक्षर करने के लिए उपयोग करता है। DS उस कुंजी का एक fingerprint है, जो आपके रजिस्ट्रार पर एक स्तर ऊपर प्रकाशित है। दोनों मौजूद होने चाहिए और मेल खाने चाहिए।
यह कब तक काम करेगा, और मैं कैसे पुष्टि करूं?
पूर्ण प्रसार के लिए 24-48 घंटे दें; आपकी मौजूदा साइट और ईमेल पूरे समय काम करती रहती है यदि यह सही तरीके से किया जाए।