Defaults.Exposed › Diegimas › DNSSEC

Kaip nustatyti DNSSEC „GoDaddy” sistemoje

Įjunkite DNSSEC „GoDaddy” sistemoje vienu jungikliu, kad niekas negalėtų klastoti jūsų DNS atsakymų ir užgrobti jūsų domeno.

Kodėl tai svarbu jūsų verslui

Kai kas nors apsilanko jūsų svetainėje ar siunčia jums el. laišką, jų kompiuteris pirmiausia paklausia DNS sistemos tinkamo adreso. Šie atsakymai paprastai keliauja nepasirašyti, todėl užpuolikas, galintis suardyti užklausą, gali tyliai nusiųsti jūsų lankytojus į suklastotą svetainę arba peradresuoti jūsų el. paštą į savo serverį — o tikras jūsų domenas vis tiek rodomas adresų juostoje.

DNSSEC tai sustabdo. Jis kriptografiškai pasirašo jūsų DNS atsakymus, todėl bet kas jūsų ieškantis gali įrodyti, kad atsakymas tikrai atėjo iš jūsų ir nebuvo pakeistas pakeliui. Paprastai tariant: tai blokuoja domenų užgrobimą ir talpyklos apsinuodijimą — atakas, paverčiančias jūsų domeną prieš jūsų klientus. Tai nemokama, o „GoDaddy” sistemoje tai dažniausiai vienas jungiklis.

Kaip veikia DNSSEC (ir kodėl „GoDaddy” čia paprasta)

DNSSEC turi dvi dalis: DNS tiekėjas pasirašo jūsų įrašus ir skelbia raktus (DNSKEY) bei nedidelį pirštų atspaudą, vadinamą DS įrašu, o registratorius publikuoja tą DS įrašą į pirminę zoną, kad likęs internetas galėtų pasitikėti parašais.

Kai „GoDaddy” yra ir jūsų registratorius, ir DNS tiekėjas — kaip daugumai domenų, naudojančių „GoDaddy” vardų serverius — „GoDaddy” atlieka abi dalis. Jūs perjungiate vieną jungiklį; „GoDaddy” sugeneruoja raktus ir automatiškai pateikia DS įrašą aukštyn po grandinę. Nereikia kopijuoti reikšmių tarp sistemų.

Tikroji rizika — kai tai nėra taip paprasta

DNSSEC gali išjungti jūsų domeną, jei jis neteisingai sukonfigūruotas. Pavojus kyla daugiausia kai registratorius ir DNS tiekėjas yra skirtingos įmonės arba kai perkeliate DNS tiekėją:

• Jei jūsų domenas registruotas „GoDaddy”, bet DNS prieglobos paslaugas teikia kažkas kitas — „GoDaddy” vieno paspaudimo jungiklis netaikomas. Turite įjungti pasirašymą tikrame DNS tiekėjuje ir rankiniu būdu pridėti DS įrašą prie „GoDaddy”.
• Jei kada nors perkeliate DNS iš „GoDaddy” — pirmiausia išjunkite DNSSEC. Likęs DS įrašas, nebesutampantis su jokiu aktyviu pasirašymo tiekėju, sukels nepavykusias užklausas ir domenas nutems.

Jei „GoDaddy” yra ir registratorius, ir DNS tiekėjas — toliau pateiktas vieno paspaudimo srautas yra saugus.

Patvirtinkite, kad „GoDaddy” valdo jūsų DNS

Tai svarbu tik jei „GoDaddy” iš tikrųjų atsako į DNS užklausas jūsų domenui. Patikrinkite, ar jūsų domenas naudoja „GoDaddy” vardų serverius: „GoDaddy” paskyroje atidarykite domeną ir pažiūrėkite į jo Nameservers nustatymą. Jei rodomi „GoDaddy” vardų serveriai — vieno paspaudimo jungiklis yra teisingas kelias. Jei vardų serveriai nukreipti į kitą tiekėją — įjunkite DNSSEC pas tą tiekėją, tada pridėkite jo pateiktą DS įrašą į „GoDaddy”.

Žingsniai „GoDaddy” sistemoje (vienas paspaudimas — „GoDaddy” yra registratorius ir DNS tiekėjas)

1. Prisijunkite prie savo „GoDaddy” paskyros.
2. Eikite į My Products (arba Domain Portfolio).
3. Raskite savo domeną ir atidarykite jo valdymo puslapį — spustelėkite domeno pavadinimą arba trijų taškų meniu ir pasirinkite Manage DNS / Domain Settings.
4. Slinkite iki skyriaus Additional Settings (kai kuriose paskyroje jis rodomas po DNS Management).
5. Raskite DNSSEC ir spustelėkite Manage arba jungiklį.
6. Perjunkite DNSSEC į įjungtą.
7. Patvirtinkite. „GoDaddy” sugeneruoja raktus, pasirašo zoną ir automatiškai pateikia DS įrašą aukštyn po grandinę — nereikia nieko kopijuoti kitur.

Žingsniai, kai jūsų DNS prieglobos paslaugas teikia kažkas kitas

Jei „GoDaddy” yra tik jūsų registratorius ir kita įmonė teikia DNS prieglobos paslaugas:

1. Pirmiausia įjunkite DNSSEC savo DNS tiekėje ir nukopijuokite jo pateiktą DS įrašą (jums reikės Key Tag, Algorithm, Digest Type ir Digest).
2. „GoDaddy” sistemoje atidarykite domeną ir raskite skyrių DNSSEC dalyje Additional Settings.
3. Pasirinkite pridėti DS įrašą ir įveskite tikslias savo DNS tiekėjo reikšmes.
4. Išsaugokite. DS įrašas dabar pateiktas pirminėje zonoje, užbaigiant grandinę.

Dažnos klaidos „GoDaddy” sistemoje

• Pirmiausia patikrinkite, kas teikia DNS prieglobos paslaugas. Paprastas vieno paspaudimo jungiklis atlieka visą darbą tik kai „GoDaddy” yra ir registratorius, ir DNS tiekėjas. Jei DNS gyvena kitur — vienas jungiklis nepakankamai.
• Neįjunkite dviejose vietose. Jei jūsų DNS tiekėjas jau pasirašo zoną — tik pridėkite jo DS įrašą prie „GoDaddy”; neįjunkite ir „GoDaddy” pasirašymo jungiklio — turėsite dvi konkuruojančias sąrankas.
• Kopijuokite DS reikšmes tiksliai, kai jas vedate rankiniu būdu. Vienas neteisingas simbolis Digest reikšmėje sugauna grandinę ir gali išjungti domeną.
• Išjunkite DNSSEC prieš perkeldami DNS. Perkėlimas į naują DNS tiekėją su senu DS įrašu, vis dar esančiu vietoje, yra klasikinė būdas išjungti domeną.
• Palaukite. Pakeitimai gali užtrukti nuo kelių minučių iki dienos, kol visiškai propagavosi.

Patikrinkite, ar veikia

Kai DNSSEC įjungtas (ir bet koks DS įrašas yra vietoje) — paleiskite nemokamą patikrinimą šiame tinklalapyje. Jis paprastai pasakys, ar DNSSEC teisingai paskelbtas ir patikimas jūsų domenui.

Atlikta? Patikrinkite savo domeną nemokamai kad patvirtintumėte, jog veikia — ir pamatytumėte pilną įvertinimą pagal visus 34 kriterijus.