Defaults.Exposed › Diegimas › DNSSEC

Kaip nustatyti DNSSEC „Cloudflare” sistemoje

Įjunkite DNSSEC „Cloudflare” sistemoje ir pridėkite DS įrašą prie savo registratoriaus, kad niekas negalėtų klastoti jūsų DNS atsakymų.

Kodėl tai svarbu jūsų verslui

Kai kas nors įveda jūsų domeną ar siunčia jums el. laišką, jų kompiuteris paklausia DNS sistemos tinkamo adreso. Paprastai šie atsakymai keliauja nepasirašyti, o tai reiškia, kad užpuolikas, galintis juos pakeisti, gali tyliai nukreipti jūsų lankytojus į suklastotą svetainę arba peradresuoti jūsų el. paštą į savo serverį. Jūsų klientai visą laiką matys tikrą jūsų domeną adresų juostoje.

DNSSEC uždaro šią spragą. Jis kriptografiškai pasirašo jūsų DNS atsakymus, todėl jūsų ieškantis asmuo gali įrodyti, kad atsakymas tikrai atėjo iš jūsų ir nebuvo pakeistas pakeliui. Paprastai tariant: tai apsaugo nuo domenų užgrobimo ir DNS apsinuodijimo — atakų, paverčiančių jūsų domeną prieš jūsų klientus. Tai nemokama ir yra viena stipriausių apsaugų, kurias galite įjungti pagrindui, ant kurio laikosi viskas kita.

Kaip iš tikrųjų veikia DNSSEC (kad žingsniai turėtų prasmę)

DNSSEC turi dvi dalis, gyvenančias dviejose vietose:

• Jūsų DNS tiekėjas („Cloudflare”) pasirašo jūsų įrašus ir skelbia viešuosius raktus (DNSKEY) bei nedidelį jų pirštų atspaudą, vadinamą DS įrašu.
• Jūsų registratorius (įmonė, iš kurios atnaujinate domeną) publikuoja tą DS įrašą į pirminę zoną (pvz., .com).

DS įrašas pas registratorių yra pasitikėjimo grandinės grandis. „Cloudflare” gali pasirašyti kiek nori, bet kol atitinkamas DS įrašas nėra pateiktas jūsų registratoriui, platesnis internetas neturi pasirašyto būdo pasitikėti tais parašais. Todėl darbas — du žingsniai: įjungti „Cloudflare”, tada pateikti DS įrašą registratoriui.

Tikroji rizika — darykite tai atsargiai

DNSSEC gali išjungti visą jūsų domeną, jei padaryta neteisingai. Du scenarijų kuriuose tai nutinka:

• DS įrašo publikavimas pas registratorių, kuris nesutampa su tuo, kuo iš tikrųjų pasirašo jūsų DNS tiekėjas.
• DNS perkėlimas į kitą tiekėją (arba „Cloudflare” išjungimas) prieš tai nepašalinus DS įrašo pas registratorių — senas DS įrašas toliau reikalauja parašų, kurių nebėra, ir užklausos pradeda nepavykti.

Nė vienas iš jų nėra pavojingas, jei sekate toliau pateiktą srautą tvarka ir niekada neištrinate DS įrašo pas registratorių, kol „Cloudflare” vis dar yra jūsų pasirašymo tiekėjas. Jei kada nors planuojate pasitraukti iš „Cloudflare” — pirmiausia išjunkite DNSSEC ir pašalinkite DS įrašą pas registratorių, tada perkelkite.

Patvirtinkite, kad „Cloudflare” valdo jūsų DNS

Tai veikia tik jei „Cloudflare” atsako į DNS užklausas jūsų domeno vardu. „Cloudflare” yra jūsų DNS tiekėjas, nebūtinai įmonė, iš kurios pirkote domeną. „Cloudflare” DNS aktyvus tik tuomet, kai jūsų domeno vardų serveriai nukreipti į „Cloudflare” valdymo pulte rodomą adresą. Atidarykite domeną „Cloudflare” ir patikrinkite puslapį Overview, kad patvirtintumėte, jog „Cloudflare” aktyvus. Jei vardų serveriai nukreipti kitur — įjunkite DNSSEC pas tą DNS tiekėją.

Žingsniai „Cloudflare” sistemoje

1. Prisijunkite prie „Cloudflare” ir pasirinkite savo domeną.
2. Kairėje meniu eikite į DNS, tada Settings (senesniuose valdymo pultuose DNSSEC skyrius rodomas tiesiogiai po DNS).
3. Raskite DNSSEC ir spustelėkite Enable DNSSEC.
4. „Cloudflare” parodys reikšmių skydelį — svarbiausia yra DS įrašas. Paprastai matysite laukus Key Tag, Algorithm, Digest Type, Digest ir paruoštą vieną eilutę DS record. Palikite šį skydelį atidarytą; šias reikšmes turėsite nukopijuoti pas registratorių.
5. Dabar prisijunkite prie savo registratoriaus (įmonės, iš kurios atnaujinate domeną — tai gali būti arba ne „Cloudflare”).
6. Raskite DNSSEC arba DS įrašo skyrių savo domenui pas registratorių ir pridėkite naują DS įrašą naudodami tikslias „Cloudflare” pateiktas reikšmes:
   • Key Tag — skaičius, kurį rodo „Cloudflare”.
   • Algorithm — paprastai 13 (ECDSA P-256 SHA-256).
   • Digest Type — paprastai 2 (SHA-256).
   • Digest — ilga šešioliktainė eilutė, nukopijuota tiksliai.
7. Išsaugokite pas registratorių. Jei registratorius leidžia įklijuoti vieną kombinuotą DS įrašo eilutę vietoje atskirų laukų — naudokite pilną DS eilutę, kurią rodė „Cloudflare”.
8. Grįžę į „Cloudflare”, kai registratorius priims DS įrašą, „Cloudflare” DNSSEC būsena pasikeis į active (tai gali užtrukti šiek tiek laiko).

Dažnos klaidos „Cloudflare” sistemoje

• Dvi sistemos, ne viena. Vien DNSSEC įjungimas „Cloudflare” sistemoje nieko neduoda — DS įrašas taip pat turi būti pateiktas jūsų registratoriui. Žmonės sustoja po 3 žingsnio ir stebisi, kodėl jis niekada netampa aktyviu.
• Nukopijuokite digest tiksliai. Vienas neteisingas ar praleistas simbolis Digest reikšmėje reiškia, kad registratoriaus DS įrašas nesutaps su „Cloudflare” parašais — tai būtent ta konfigūracijos klaida, kuri išjungia domeną. Kopijuokite ir įklijuokite; niekada neperrašykite rankiniu būdu.
• Suderinkite algoritmo ir digest tipo numerius. Jei registratorius prašo jų atskirai — naudokite „Cloudflare” rodomas reikšmes; nespėliokite.
• Jei „Cloudflare” taip pat yra jūsų registratorius — DS žingsnis tvarkomas viduje ir gali nebūti atskiros registratoriaus formos, tačiau prieš manydami, kad viskas atlikta, patvirtinkite, kad DNSSEC rodo kaip aktyvus.
• Niekada nepašalinkite DS įrašo, kol „Cloudflare” vis dar pasirašo. Ir jei kada nors perkeliate DNS iš „Cloudflare” — pirmiausia išjunkite DNSSEC ir išvalykite DS įrašą pas registratorių.
• Palaukite. DNSSEC pakeitimai gali užtrukti nuo kelių minučių iki dienos, kol visiškai propagavosi ir taps aktyviais.

Patikrinkite, ar veikia

Kai DNSSEC rodo kaip aktyvus „Cloudflare” ir DS įrašas yra pas jūsų registratorių — paleiskite nemokamą patikrinimą šiame tinklalapyje. Jis paprastai pasakys, ar DNSSEC teisingai paskelbtas ir patikimas jūsų domenui.

Atlikta? Patikrinkite savo domeną nemokamai kad patvirtintumėte, jog veikia — ir pamatytumėte pilną įvertinimą pagal visus 34 kriterijus.