Defaults.Exposed › Postavljanje › DNSSEC

Kako postaviti DNSSEC na Cloudflareу

Uključite DNSSEC u Cloudflareу i dodajte DS zapis kod registrara kako nitko ne bi mogao krivotvoriti vaše DNS odgovore.

Zašto je ovo važno za vaše poslovanje

Kada netko upiše vašu domenu ili vam pošalje e-poštu, njegovo računalo pita DNS sustav za pravu adresu. Normalno ti odgovori putuju bez potpisa, što znači da napadač koji može njima manipulirati može tiho preusmjeriti vaše posjetitelje na lažnu stranicu ili preoteti vašu e-poštu na vlastiti poslužitelj. Vaši klijenti cijelo to vrijeme vide vašu pravu domenu u adresnoj traci.

DNSSEC zatvara tu rupu. Kriptografski potpisuje vaše DNS odgovore, pa osoba koja vas traži može dokazati da je odgovor zaista došao od vas i nije bio izmijenjen na putu. Jednostavno rečeno: sprječava kriminalce od otmice vaše domene ili trovanja pretraživanja koja upućuju ljude prema vama. Besplatan je i jedna je od najjačih zaštita koje možete uključiti za temelje na kojima sve ostalo počiva.

Kako DNSSEC zapravo funkcionira (da bi koraci imali smisla)

DNSSEC ima dva dijela koji žive na dva mjesta:

• Vaš DNS domaćin (Cloudflare) potpisuje vaše zapise i objavljuje javne ključeve (DNSKEY) te mali otisak prsta od njih koji se zove DS zapis.
• Vaš registrar (gdje ste kupili i obnavljate domenu) objavljuje taj DS zapis prema gore u nadređenu zonu (na primjer .com).

DS zapis kod registrara je karika u lancu povjerenja. Cloudflare može potpisivati cijeli dan, ali dok odgovarajući DS zapis nije pohranjen kod vašeg registrara, širi internet nema potpisanog načina za provjeru tih potpisa. Dakle, posao je u dva koraka: uključite u Cloudflareу, zatim predajte DS zapis registraru.

Pravi rizik — radite ovo pažljivo

DNSSEC može srušiti cijelu vašu domenu ako se pogriješi. Dva načina na koje se to događa:

• Objavljivanje DS zapisa kod registrara koji se ne podudara s onim čime vaš DNS domaćin zaista potpisuje.
• Premještanje DNS-a na drugog domaćina (ili isključivanje Cloudflareja) bez prethodnog uklanjanja DS zapisa kod registrara — stari DS zapis nastavlja zahtijevati potpise koji više ne postoje, i pretraživanja počinju propadati.

Nijedno od toga nije opasno ako slijedite tok ispod po redu i nikad ne brišete DS zapis kod registrara dok je Cloudflare još uvijek vaš domaćin za potpisivanje. Ako ikad planirate napustiti Cloudflare, najprije onemogućite DNSSEC i uklonite DS zapis kod registrara, zatim se preselite.

Potvrdite da Cloudflare upravlja vašim DNS-om

Ovo funkcionira samo ako Cloudflare odgovara na DNS upite za vašu domenu. Cloudflare je vaš DNS domaćin, ne nužno tvrtka od koje ste kupili domenu. Cloudflareov DNS je aktivan samo kada nameserveri vaše domene pokazuju na Cloudflare nameservere prikazane u vašoj nadzornoj ploči. Otvorite svoju domenu u Cloudflareу i provjerite stranicu Overview kako biste potvrdili da je Cloudflare aktivan. Ako nameserveri pokazuju drugamo, omogućite DNSSEC kod pružatelja koji zapravo upravlja vašim DNS-om.

Korak po korak na Cloudflareу

1. Prijavite se na Cloudflare i odaberite svoju domenu.
2. U lijevom izborniku idite na DNS, zatim Settings (starije nadzorne ploče prikazuju odjeljak DNSSEC izravno pod DNS).
3. Pronađite DNSSEC i kliknite Enable DNSSEC.
4. Cloudflare će prikazati panel s vrijednostima — važna je DS zapis. Obično ćete vidjeti polja kao što su Key Tag, Algorithm, Digest Type, Digest i gotov jednorednički DS zapis. Ostavite ovaj panel otvorenim; trebate kopirati ove vrijednosti kod registrara.
5. Sada se prijavite na svog registrara (tvrtka kod koje obnavljate domenu — to može, ali ne mora biti Cloudflare).
6. Pronađite odjeljak DNSSEC ili DS zapisa za vašu domenu kod registrara i dodajte novi DS zapis koristeći točno vrijednosti koje je dao Cloudflare:
   • Key Tag — broj koji prikazuje Cloudflare.
   • Algorithm — obično 13 (ECDSA P-256 SHA-256).
   • Digest Type — obično 2 (SHA-256).
   • Digest — dugi heksadecimalni niz, kopiran točno.
7. Spremite kod registrara. Ako vaš registrar dopušta lijepljenje jednog kombiniranog retka DS zapisa umjesto zasebnih polja, koristite puni DS redak koji je prikazao Cloudflare.
8. Natrag u Cloudflareу, kada registrar prihvati DS zapis, status DNSSEC-a u Cloudflareу će se promijeniti u active (ovo može potrajati neko vrijeme za potvrdu).

Česte greške na Cloudflareу

• Dva sustava, ne jedan. Samo uključivanje DNSSEC-a u Cloudflareу samo po sebi ne radi ništa — DS zapis mora biti pohranjen i kod vašeg registrara. Ljudi stanu nakon koraka 3 i pitaju se zašto nikad ne postane aktivan.
• Kopirajte digest točno. Jedan pogrešan ili nedostajući znak u Digestu znači da DS zapis registrara neće odgovarati Cloudflareovim potpisima, što je točno ona pogreška koja domenu stavlja izvan mreže. Kopirajte i zalijepite; nikad ne prepisujte ručno.
• Uskladite brojeve algoritma i digest-type. Ako vaš registrar pita za ove vrijednosti zasebno, koristite vrijednosti koje prikazuje Cloudflare — ne pogađajte.
• Ako je Cloudflare i vaš registrar, korak DS-a se obrađuje interno i možda nećete vidjeti zasebni obrazac registrara — ali potvrdite da DNSSEC prikazuje kao aktivan prije nego što pretpostavite da je gotovo.
• Nikad ne uklanjajte DS zapis dok Cloudflare još uvijek potpisuje. I ako ikad migrirate DNS s Cloudflareja, onemogućite DNSSEC i očistite DS zapis kod registrara prije premještanja.
• Dajte mu vremena. DNSSEC promjene mogu potrajati od nekoliko minuta do dana da se u potpunosti propagiraju i pokažu kao aktivne.

Provjerite je li uspjelo

Kada DNSSEC prikaže kao aktivan u Cloudflareу i DS zapis je na svom mjestu kod registrara, pokrenite besplatnu provjeru na ovoj stranici. Reći će vam jasno je li DNSSEC ispravno objavljen i pouzdano postavljen za vašu domenu.

Gotovo? Provjerite svoju domenu besplatno kako biste potvrdili da je uspjelo — i vidjeli svoju cjelovitu ocjenu prema svih 34 provjera.