Defaults.Exposed › Beállítás › DNSSEC

Hogyan állítsuk be a DNSSEC-et Namecheap-en

Engedélyezd a DNSSEC-et a Namecheap-en, hogy senki ne tudja meghamisítani a DNS-válaszaidat és átirányítani a látogatóidat vagy az e-mailjeidet.

Miért fontos ez a vállalkozásod szempontjából

Minden alkalommal, amikor valaki megnyitja a weboldaladat, vagy e-mailt küld neked, a számítógépük a DNS-rendszertől kéri, hol találjon meg. Ezek a válaszok általában aláíratlanul utaznak, így egy támadó, aki képes megzavarni a keresést, csendesen hamis oldalra küldheti a látogatóidat, vagy a saját szerverére terelheti az e-mailjeidet — miközben a valódi domained továbbra is megjelenik a böngésző címsorában.

A DNSSEC bezárja ezt az ajtót. Kriptográfiai aláírással látja el a DNS-válaszokat, így bárki, aki rákeres, megerősítheti, hogy a válasz valóban tőled érkezett, és útközben nem változtatták meg. Egyszerűen fogalmazva: megakadályozza a domain-eltérítést és a gyorsítótár-mérgezést, azokat a támadásokat, amelyek a saját domainedet fordítják az ügyfeleid ellen. Ingyenes, és ha a Namecheap kezeli a DNS-edet, közel egy kattintás.

Hogyan működik a DNSSEC (és miért lehet egyszerű a Namecheap-en)

A DNSSEC két félből áll: a DNS-gazda aláírja a rekordjaidat, és közzéteszi a kulcsokat (egy DNSKEY-t), valamint egy kis lenyomatot, amelyet DS rekordnak neveznek, a regisztrátor pedig ezt a DS rekordot helyezi el a szülőzónában, hogy az internet többi része megbízhassa az aláírásokat.

Ha a Namecheap egyszerre a regisztrátored és a DNS-gazdád — vagyis a domainedet Namecheap BasicDNS / PremiumDNS használja —, a Namecheap egyetlen kapcsolóval mindkét lépést elvégzi. Aláírja a zónát, és közzéteszi a DS rekordot a lánc feljebb helyetted. Ha a DNS-t máshol hosztolják, a DS rekordot kézzel kell bemásolnod abból a gazdából a Namecheap-be.

A valódi kockázat — ezt sorban csináld

A DNSSEC offline-ra helyezheti a domainedet, ha helytelenül van beállítva. Ez két esetben fordul elő:

• Ha a regisztrátornál elhelyezett DS rekord nem egyezik azzal, amit a DNS-gazda valójában aláírással hitelesít.
• Ha a DNS-edet egy másik gazdára költözteted (vagy kikapcsolod az aláírást) anélkül, hogy először eltávolítanád a DS rekordot — az elavult DS rekord tovább követeli az aláírásokat, amelyek már nem léteznek, és a keresések meghiúsulnak.

Tehát: ha valaha átmozgatod a DNS-t a Namecheap-ről, vagy elhagyod a Namecheap névszervereit, először kapcsold ki a DNSSEC-et és töröld a DS rekordot, majd csak utána költözz. Kövesd az alábbi folyamatot sorban, és biztonságban leszel.

Ellenőrizd, hogy a Namecheap kezeli-e a DNS-edet

Ellenőrizd, mi válaszolja meg a DNS-kéréseket a domainednél. A Namecheap fiókodon nyisd meg a domainent, és nézd meg a Nameservers beállítást a Domain lapon:

• Ha Namecheap BasicDNS vagy Namecheap Web Hosting DNS / PremiumDNS van beállítva, a Namecheap hostolja a DNS-edet — használd az egy kattintásos folyamatot.
• Ha Custom DNS látható, amely egy másik szolgáltatóra mutat, az a szolgáltató hostolja a DNS-edet — először ott engedélyezd a DNSSEC-et, majd add hozzá az általa kapott DS rekordot a Namecheap-hez.

Lépésről lépésre Namecheap-en (Namecheap egyszerre regisztrátor és DNS-gazda)

1. Jelentkezz be a Namecheap-re.
2. Menj a Domain List részre, és kattints a domainedet melletti Manage gombra.
3. Nyisd meg az Advanced DNS lapot.
4. Görgess a DNSSEC részhez.
5. Kapcsold be a DNSSEC-et.
6. Erősítsd meg. A Namecheap saját DNS-e esetén a Namecheap aláírja a zónát, és közzéteszi a DS rekordot a lánc feljebb — nincs szükség semmit máshol másolni.

Lépésről lépésre, ha a DNS-t máshol hosztolják

Ha a Namecheap a regisztrátored, de egy másik cég hostolja a DNS-t:

1. Először a DNS-gazdánál kapcsold be a DNSSEC-et, és másold le az általa előállított DS rekord értékeket — általában a Key Tag, Algorithm, Digest Type és a Digest.
2. A Namecheap-en nyisd meg a domainedet, menj az Advanced DNS lapra, majd a DNSSEC részhez.
3. Adj hozzá DS rekordot, és írd be a DNS-gazdádtól kapott értékeket pontosan a megfelelő mezőkbe.
4. Mentsd el. A DS rekord most a szülőzónában van, és a bizalmi lánc kész.

Namecheap-specifikus hibák, amelyeket sokan elkövetnek

• A kapcsoló csak akkor végzi el mindkét dolgot, ha a Namecheap hostolja a DNS-t is. Custom DNS esetén a kapcsoló egyedüli átbillentése nem elég — be kell illesztened a DS rekordot a valódi DNS-gazdádtól.
• Ne kétszer írj alá. Ha a külső DNS-gazdád már aláírja a zónát, csak a DS rekordját add be a Namecheap-hez — ne engedélyezd a Namecheap saját aláírását is.
• DS értékeket karakterről karakterre másold. Egyetlen hibás számjegy a Digest-ben azt jelenti, hogy a DS nem fog egyezni az aláírásokkal — ez pontosan az, ami offline-ra helyez egy domaint. Másold és illeszd be, soha ne gépeld be kézzel.
• Az algoritmus- és digest-típus számokat a DNS-gazda által közölt értékek szerint egyeztesd — ne találgass.
• Névszerver-váltás előtt kapcsold ki a DNSSEC-et. DNS-gazdát váltani elavult DS rekorddal a klasszikus módja egy domain kiütésének.
• Adj időt neki. A változtatások néhány perctől akár egy napig is tarthatnak, mire teljesen propagálódnak.

Ellenőrizd, hogy működik-e

Miután a DNSSEC be van kapcsolva (és a DS rekord a helyén van), futtasd az ingyenes ellenőrzést ezen az oldalon. Egyszerű nyelven megmondja, hogy a DNSSEC helyesen van-e közzétéve és megbízhatóan kezelve a domainedhez.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.