Defaults.Exposed › Beállítás › DNSSEC

Hogyan állítsuk be a DNSSEC-et Cloudflare-en

Kapcsold be a DNSSEC-et a Cloudflare-en, és add hozzá a DS rekordot a regisztrátornál, hogy senki ne tudja meghamisítani a DNS-válaszaidat.

Miért fontos ez a vállalkozásod szempontjából

Amikor valaki begépeli a domainedet, vagy e-mailt küld neked, a számítógépük a DNS-rendszertől kéri a megfelelő címet. Ezek a válaszok általában aláíratlanul utaznak, ami azt jelenti, hogy egy támadó, aki képes megzavarni őket, csendesen hamis weboldalra irányíthatja a látogatóidat, vagy a saját szerverére terelheti az e-mailjeidet. Az ügyfeleid közben az igazi domainedet látják a böngésző címsorában.

A DNSSEC bezárja ezt a rést. Kriptográfiai aláírással látja el a DNS-válaszokat, így a kereső fél bizonyítani tudja, hogy a válasz valóban tőled érkezett, és útközben nem módosították. Egyszerűen fogalmazva: megakadályozza a bűnözőket abban, hogy eltérítsék a domainedet, vagy megmérgesítsék azokat a kereséseket, amelyek az embereket hozzád irányítják. Ingyenes, és az egyik legerősebb védelem, amelyet az egész rendszered alapját képező infrastruktúrán bekapcsolhatsz.

Hogyan működik a DNSSEC valójában (hogy a lépések értelmesek legyenek)

A DNSSEC két félből áll, amelyek két különböző helyen élnek:

• A DNS-gazdád (Cloudflare) aláírja a rekordjaidat, és közzéteszi a nyilvános kulcsokat (egy DNSKEY-t), valamint azok kis lenyomatát, amelyet DS rekordnak neveznek.
• A regisztrátornál (ahol a domaint megvetted és megújítod) kell közzétenni ezt a DS rekordot a szülőzónába (például .com).

A regisztrátornál lévő DS rekord a bizalmi lánc összekötő szemje. A Cloudflare aláírhat egész nap, de amíg a megfelelő DS rekordot nem helyezik el a regisztrátornál, az internet többi része nem tudja megbízhatóan ellenőrizni az aláírásokat. A feladat tehát két lépésből áll: bekapcsold a Cloudflare-en, majd add át a DS rekordot a regisztrátornak.

A valódi kockázat — ezt óvatosan csináld

A DNSSEC az egész domainedet offline-ra helyezheti, ha rosszul állítják be. Ez két esetben fordul elő:

• Ha a regisztrátornál közzétett DS rekord nem egyezik azzal, amit a DNS-gazdád valójában aláírással hitelesít.
• Ha a DNS-edet egy másik gazdára költözteted (vagy kikapcsolod a Cloudflare-t) anélkül, hogy először eltávolítanád a DS rekordot a regisztrátornál — a régi DS rekord tovább követeli az aláírásokat, amelyek már nem léteznek, és a keresések meghiúsulnak.

Egyik sem veszélyes, ha az alábbi folyamatot sorban követed, és soha nem törlöd a DS rekordot a regisztrátornál, amíg a Cloudflare még az aláíró gazdád. Ha valaha el szeretnéd hagyni a Cloudflare-t, először kapcsold ki a DNSSEC-et és távolítsd el a DS rekordot a regisztrátornál, majd csak utána költözz.

Ellenőrizd, hogy a Cloudflare kezeli-e a DNS-edet

Ez csak akkor működik, ha a Cloudflare szolgálja ki a domainedet. A Cloudflare a DNS-gazdád, nem feltétlenül az a cég, ahol a domaint vetted. A Cloudflare DNS-e csak akkor él, ha a domainedet meghatározó névszerverek az irányítópultodban megjelenő Cloudflare névszerverekre mutatnak. Nyisd meg a domaint a Cloudflare-en, és ellenőrizd az Overview oldalt, hogy a Cloudflare aktív-e. Ha a névszerverek máshova mutatnak, a DNSSEC-et annál a szolgáltatónál kapcsold be, amelyik a DNS-edet kezeli.

Lépésről lépésre Cloudflare-en

1. Jelentkezz be a Cloudflare-re, és válaszd ki a domainnedet.
2. A bal oldali menüben menj a DNS, majd a Settings részbe (régebbi irányítópultokon a DNSSEC rész közvetlenül a DNS alatt jelenik meg).
3. Keresd meg a DNSSEC részt, és kattints az Enable DNSSEC gombra.
4. A Cloudflare megjelenít egy értékeket tartalmazó panelt — a legfontosabb a DS rekord. Általában olyan mezőket látsz, mint Key Tag, Algorithm, Digest Type, Digest, és egy előre elkészített egysoros DS rekord. Hagyd nyitva ezt a panelt; az értékeket át kell másolnod a regisztrátorhoz.
5. Most jelentkezz be a regisztrátorhoz (a céghez, ahol a domaint megújítod — ez lehet, hogy nem a Cloudflare).
6. Keresd meg a DNSSEC vagy DS rekord részt a domainnél a regisztrátornál, és adj hozzá egy új DS rekordot a Cloudflare által megadott pontos értékekkel:
   • Key Tag — a Cloudflare által megjelenített szám.
   • Algorithm — általában 13 (ECDSA P-256 SHA-256).
   • Digest Type — általában 2 (SHA-256).
   • Digest — a hosszú hexadecimális karakterlánc, pontosan lemásolva.
7. Mentsd el a regisztrátornál. Ha a regisztrátor lehetővé teszi, hogy külön mezők helyett egyetlen összesített DS rekord sort illessz be, használd a Cloudflare által megjelenített teljes DS sort.
8. Visszatérve a Cloudflare-hez, miután a regisztrátor elfogadta a DS rekordot, a Cloudflare DNSSEC állapota aktív-ra vált (ez egy kis ideig tarthat).

Cloudflare-specifikus hibák, amelyeket sokan elkövetnek

• Két rendszer, nem egy. A DNSSEC bekapcsolása a Cloudflare-en önmagában semmit sem ér — a DS rekordot a regisztrátornál is el kell helyezni. Sokan a 3. lépés után megállnak, és csodálkoznak, miért nem lesz aktív soha.
• Pontosan másold le a digestet. Egyetlen hibás vagy hiányzó karakter a Digest-ben azt jelenti, hogy a regisztrátor DS rekordja nem fog egyezni a Cloudflare aláírásaival — ez pontosan az a helytelen konfiguráció, amely offline-ra helyez egy domaint. Másold és illeszd be; soha ne írd be kézzel.
• Egyeztesd az algoritmus- és digest-típus számokat. Ha a regisztrátor ezeket külön kéri, a Cloudflare által megjelenített értékeket használd — ne találgass.
• Ha a Cloudflare egyben a regisztrátored is, a DS lépés belsőleg kezelt, és előfordulhat, hogy nem látsz külön regisztrátori űrlapot — de a folytatás előtt erősítsd meg, hogy a DNSSEC aktívként jelenik meg.
• Soha ne távolítsd el a DS rekordot, amíg a Cloudflare még aláír. Ha valaha migrálod a DNS-t a Cloudflare-ről, kapcsold ki a DNSSEC-et és töröld a DS rekordot a regisztrátornál a költözés előtt.
• Adj időt neki. A DNSSEC változtatások néhány perctől akár egy napig is tarthatnak, mire teljesen propagálódnak és aktívként jelennek meg.

Ellenőrizd, hogy működik-e

Miután a DNSSEC aktívként jelenik meg a Cloudflare-en, és a DS rekord a helyén van a regisztrátornál, futtasd az ingyenes ellenőrzést ezen az oldalon. Egyszerű nyelven megmondja, hogy a DNSSEC helyesen van-e közzétéve és megbízhatóan kezelve a domainedhez.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.