Defaults.Exposed › Beállítás › DNSSEC

Hogyan állítsuk be a DNSSEC-et GoDaddy-n

Kapcsold be a DNSSEC-et a GoDaddy-n egyetlen kapcsolóval, hogy senki ne tudja meghamisítani a DNS-válaszaidat és eltéríteni a domainedet.

Miért fontos ez a vállalkozásod szempontjából

Amikor valaki meglátogatja a weboldaladat, vagy e-mailt küld neked, a számítógépük először a DNS-rendszertől kéri a megfelelő címet. Ezek a válaszok általában aláíratlanul utaznak, így egy támadó, aki képes megzavarni a keresést, csendesen hamis oldalra küldheti a látogatóidat, vagy a saját szerverére terelheti az e-mailjeidet — miközben a valódi domained továbbra is megjelenik a böngésző címsorában.

A DNSSEC megállítja ezt. Kriptográfiai aláírással látja el a DNS-válaszokat, így bárki, aki rákeres, bizonyítani tudja, hogy a válasz valóban tőled érkezett, és útközben nem módosították. Egyszerűen fogalmazva: megakadályozza a domain-eltérítést és a gyorsítótár-mérgezést, azokat a támadásokat, amelyek a saját domainedet fordítják az ügyfeleid ellen. Ingyenes, és a GoDaddy-n általában egyetlen kapcsoló.

Hogyan működik a DNSSEC (és miért egyszerű a GoDaddy-n)

A DNSSEC két félből áll: a DNS-gazda aláírja a rekordjaidat, és közzéteszi a kulcsokat (egy DNSKEY-t), valamint egy kis lenyomatot, amelyet DS rekordnak neveznek, a regisztrátor pedig ezt a DS rekordot helyezi el a szülőzónában, hogy az internet többi része megbízhassa az aláírásokat.

Ha a GoDaddy egyszerre a regisztrátored és a DNS-gazdád — ami a GoDaddy névszervereket használó legtöbb GoDaddy-domainnél így van —, a GoDaddy mindkét lépést elvégzi helyetted. Átbillented az egyik kapcsolót; a GoDaddy legenerálja a kulcsokat, és automatikusan elhelyezi a DS rekordot a lánc feljebb. Nincs szükség értékek másolgatására rendszerek között.

A valódi kockázat — amikor nem ilyen egyszerű

A DNSSEC offline-ra helyezheti a domainedet, ha helytelenül van beállítva. A veszély főként akkor merül fel, ha a regisztrátor és a DNS-gazda különböző cégek, vagy ha DNS-gazdát váltasz:

• Ha a domained a GoDaddy-nél van regisztrálva, de a DNS-t máshol hosztolják, a GoDaddy egy kattintásos kapcsolója nem vonatkozik erre — be kell kapcsolnod az aláírást a valódi DNS-gazdánál, és kézzel hozzá kell adnod a DS rekordot a GoDaddy-hez.
• Ha valaha átköltözteted a DNS-edet a GoDaddy-ről, először kapcsold ki a DNSSEC-et. Egy maradék DS rekord, amely már nem egyezik egyetlen aktív aláíró gazdával sem, a keresések meghiúsulásához és a domain elsötétüléséhez vezet.

Ha a GoDaddy egyszerre a regisztrátor és a DNS-gazda, az alábbi egy kattintásos folyamat biztonságos.

Ellenőrizd, hogy a GoDaddy kezeli-e a DNS-edet

Ez csak akkor számít, ha a GoDaddy valóban szolgálja ki a domainedet. Ellenőrizd, hogy a domainedet GoDaddy névszervereket használja: a GoDaddy fiókodon nyisd meg a domainent, és nézd meg a Nameservers beállítást. Ha a GoDaddy saját névszervereit mutatja, az egy kattintásos kapcsoló a helyes út. Ha a névszerverek egy másik szolgáltatóra mutatnak (például egy külön DNS-gazdára), ott engedélyezd a DNSSEC-et, majd add hozzá az általa kapott DS rekordot a GoDaddy-hez.

Lépésről lépésre GoDaddy-n (egy kattintás, GoDaddy egyszerre regisztrátor és DNS-gazda)

1. Jelentkezz be a GoDaddy fiókoddá.
2. Menj a My Products (vagy Domain Portfolio) részre.
3. Keresd meg a domainedet, és nyisd meg a kezelési oldalát — kattints a domain nevére, vagy a hárompontos menüre, majd válaszd a Manage DNS / Domain Settings lehetőséget.
4. Görgess az Additional Settings részhez (néhány fiókon DNS Management alatt jelenik meg).
5. Keresd meg a DNSSEC részt, és kattints a Manage gombra vagy a kapcsolóra.
6. Kapcsold be a DNSSEC-et.
7. Erősítsd meg. A GoDaddy legenerálja a kulcsokat, aláírja a zónát, és automatikusan közzéteszi a DS rekordot a lánc feljebb — nincs szükség semmit máshol másolni.

Lépésről lépésre, ha a DNS-t máshol hosztolják

Ha a GoDaddy csak a regisztrátored, és egy másik cég hostolja a DNS-t:

1. Először a DNS-gazdánál kapcsold be a DNSSEC-et, és másold le az általa előállított DS rekordot (szükséged lesz a Key Tag, Algorithm, Digest Type és a Digest értékekre).
2. A GoDaddy-n nyisd meg a domainedet, és keresd meg a DNSSEC részt az Additional Settings alatt.
3. Válaszd a DS rekord hozzáadása lehetőséget, és írd be a DNS-gazdádtól kapott értékeket pontosan.
4. Mentsd el. A DS rekord most a szülőzónában van, és a lánc kész.

GoDaddy-specifikus hibák, amelyeket sokan elkövetnek

• Először ellenőrizd, ki hostolja a DNS-t. Az egyszerű egy kattintásos kapcsoló csak akkor végzi el az egész munkát, ha a GoDaddy egyszerre a regisztrátor és a DNS-gazda. Ha a DNS máshol él, a kapcsoló önmagában nem elég.
• Ne kapcsold be két helyen. Ha a DNS-gazdád már aláírja a zónát, csak a DS rekordjátt add hozzá a GoDaddy-hez — ne billentsd át a GoDaddy saját aláíró kapcsolóját is, különben két versengő beállítás keletkezik.
• DS értékeket pontosan másold a kézzel való bevitelkor. Egyetlen hibás karakter a Digest-ben megszakítja a láncot, és offline-ra helyezheti a domaint.
• DNSSEC kikapcsolása DNS-váltás előtt. Egy elavult DS rekord egy új DNS-gazdára való migrálás után a klasszikus módja egy domain kiütésének.
• Adj időt neki. A változtatások néhány perctől akár egy napig is tarthatnak, mire teljesen propagálódnak.

Ellenőrizd, hogy működik-e

Miután a DNSSEC be van kapcsolva (és a DS rekord a helyén van), futtasd az ingyenes ellenőrzést ezen az oldalon. Egyszerű nyelven megmondja, hogy a DNSSEC helyesen van-e közzétéve és megbízhatóan kezelve a domainedhez.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.