Defaults.Exposed › Diegimas › DNSSEC

Kaip nustatyti DNSSEC „Namecheap” sistemoje

Įjunkite DNSSEC „Namecheap” sistemoje, kad niekas negalėtų klastoti jūsų DNS atsakymų ir nukreipti jūsų lankytojų ar el. pašto.

Kodėl tai svarbu jūsų verslui

Kiekvieną kartą, kai kas nors atidaro jūsų svetainę ar siunčia jums el. laišką, jų kompiuteris paklausia DNS sistemos, kur jūsų rasti. Šie atsakymai paprastai keliauja nepasirašyti, todėl užpuolikas, galintis sutrukdyti užklausai, gali tyliai nusiųsti jūsų lankytojus į suklastotą svetainę arba peradresuoti jūsų el. paštą į savo serverį — o tikras jūsų domenas vis tiek rodomas adresų juostoje.

DNSSEC uždaro šią duris. Jis kriptografiškai pasirašo jūsų DNS atsakymus, todėl bet kas jūsų ieškantis gali patvirtinti, kad atsakymas tikrai atėjo iš jūsų ir nebuvo pakeistas pakeliui. Paprastai tariant: tai apsaugo nuo domenų užgrobimo ir talpyklos apsinuodijimo — atakų, ginkluojančių jūsų domeną prieš jūsų klientus. Tai nemokama, o kai „Namecheap” teikia DNS prieglobos paslaugas — tai beveik vienas paspaudimas.

Kaip veikia DNSSEC (ir kodėl „Namecheap” gali būti paprastas)

DNSSEC turi dvi dalis: DNS tiekėjas pasirašo jūsų įrašus ir skelbia raktus (DNSKEY) bei nedidelį pirštų atspaudą, vadinamą DS įrašu, o registratorius publikuoja tą DS įrašą į pirminę zoną, kad likęs internetas patikėtų parašais.

Kai „Namecheap” yra ir jūsų registratorius, ir DNS tiekėjas — tai yra, jūsų domenas naudoja Namecheap BasicDNS / PremiumDNS — „Namecheap” tvarko abi dalis vienu jungikliu. Jis pasirašo zoną ir pateikia DS įrašą aukštyn po grandinę. Kai jūsų DNS prieglobos paslaugas teikia kažkas kitas — rankiniu būdu nukopijuojate DS įrašą iš to tiekėjo į „Namecheap”.

Tikroji rizika — darykite tai tvarka

DNSSEC gali išjungti jūsų domeną, jei jis neteisingai nustatytas. Du scenarijų, kuriuose tai nutinka:

• DS įrašas pateiktas pas registratorių, kuris nesutampa su tuo, kuo iš tikrųjų pasirašo DNS tiekėjas.
• DNS perkėlimas į kitą tiekėją (arba pasirašymo išjungimas) prieš tai nepašalinus DS įrašo — likęs DS įrašas toliau reikalauja parašų, kurių nebėra, ir užklausos nepavyksta.

Todėl: jei kada nors perkeliate DNS iš „Namecheap” arba nuo „Namecheap” vardų serverių — pirmiausia išjunkite DNSSEC ir išvalykite DS įrašą, tada perkelkite. Sekite toliau pateiktą srautą tvarka ir būsite saugūs.

Patvirtinkite, kad „Namecheap” valdo jūsų DNS

Patikrinkite, kas atsako į DNS užklausas jūsų domenui. „Namecheap” paskyroje atidarykite domeną ir pažiūrėkite į nustatymą Nameservers skirtuke Domain:

• Jei nustatyta Namecheap BasicDNS arba Namecheap Web Hosting DNS / PremiumDNS — „Namecheap” teikia DNS prieglobos paslaugas; naudokite vieno paspaudimo srautą.
• Jei rodoma Custom DNS, nukreipianti į kitą tiekėją — tas tiekėjas teikia DNS prieglobos paslaugas; pirmiausia įjunkite DNSSEC ten, tada pridėkite jo pateiktą DS įrašą į „Namecheap”.

Žingsniai „Namecheap” sistemoje („Namecheap” yra registratorius ir DNS tiekėjas)

1. Prisijunkite prie „Namecheap”.
2. Eikite į Domain List ir spustelėkite Manage šalia savo domeno.
3. Atidarykite skirtuką Advanced DNS.
4. Slinkite iki skyriaus DNSSEC.
5. Perjunkite DNSSEC į įjungtą.
6. Patvirtinkite. Naudojant „Namecheap” DNS, „Namecheap” pasirašo zoną ir pateikia DS įrašą aukštyn po grandinę — nereikia nieko kopijuoti kitur.

Žingsniai, kai jūsų DNS prieglobos paslaugas teikia kažkas kitas

Jei „Namecheap” yra jūsų registratorius, bet kita įmonė teikia DNS prieglobos paslaugas:

1. Pirmiausia įjunkite DNSSEC savo DNS tiekėje ir nukopijuokite jo pateiktas DS įrašo reikšmes — paprastai Key Tag, Algorithm, Digest Type ir Digest.
2. „Namecheap” sistemoje atidarykite domeną ir eikite į skirtuką Advanced DNS, tada į skyrių DNSSEC.
3. Pridėkite DS įrašą ir įveskite tikslias savo DNS tiekėjo reikšmes į atitinkamus laukus.
4. Išsaugokite. DS įrašas dabar pateiktas pirminėje zonoje, užbaigiant pasitikėjimo grandinę.

Dažnos klaidos „Namecheap” sistemoje

• Jungiklis atlieka viską tik kai „Namecheap” taip pat teikia DNS prieglobos paslaugas. Naudojant Custom DNS — vien jungiklio perjungimas nepakankamai; turite įklijuoti DS įrašą iš tikrojo DNS tiekėjo.
• Nepasirašykite dvigubai. Jei jūsų išorinis DNS tiekėjas jau pasirašo zoną — tik įveskite jo DS įrašą „Namecheap” sistemoje; neįjunkite ir paties „Namecheap” pasirašymo.
• Kopijuokite DS reikšmes simbolis po simbolio. Vienas neteisingas skaitmuo Digest reikšmėje reiškia, kad DS nesutaps su parašais — tai būtent tai, kas išjungia domeną. Kopijuokite, niekada neperrašykite.
• Suderinkite algoritmo ir digest tipo numerius su tuo, ką praneša jūsų DNS tiekėjas — nespėliokite.
• Išjunkite DNSSEC prieš keisdami vardų serverius. DNS tiekėjo keitimas su senu DS įrašu, vis dar esančiu vietoje, yra klasikinė būdas išjungti domeną.
• Palaukite. Pakeitimai gali užtrukti nuo kelių minučių iki dienos, kol visiškai propagavosi.

Patikrinkite, ar veikia

Kai DNSSEC įjungtas (ir bet koks DS įrašas yra vietoje) — paleiskite nemokamą patikrinimą šiame tinklalapyje. Jis paprastai pasakys, ar DNSSEC teisingai paskelbtas ir patikimas jūsų domenui.

Atlikta? Patikrinkite savo domeną nemokamai kad patvirtintumėte, jog veikia — ir pamatytumėte pilną įvertinimą pagal visus 34 kriterijus.