Defaults.Exposed › Persediaan › DNSSEC

Cara menyediakan DNSSEC di Cloudflare

Hidupkan DNSSEC di Cloudflare dan tambah rekod DS di pendaftar anda supaya tiada siapa yang boleh memalsukan jawapan DNS anda.

Mengapa ini penting untuk perniagaan anda

Apabila seseorang menaip domain anda atau menghantar emel kepada anda, komputer mereka bertanya sistem DNS untuk alamat yang betul. Biasanya jawapan tersebut bergerak tanpa tandatangan, yang bermakna penyerang yang boleh mengganggu jawapan tersebut boleh secara senyap menghala pelawat anda ke laman web palsu atau mengalihkan emel anda ke pelayan mereka sendiri. Pelanggan anda melihat domain sebenar anda dalam bar alamat sepanjang masa.

DNSSEC menutup jurang itu. Ia menandatangani jawapan DNS anda secara kriptografi, supaya orang yang mencari anda boleh membuktikan jawapan itu benar-benar datang dari anda dan tidak diubah dalam perjalanan. Dalam bahasa mudah: ia menghalang penjenayah daripada merampas domain anda atau meracuni carian yang menghala orang ke arah anda. Ia percuma, dan ia adalah salah satu perlindungan terkuat yang boleh anda hidupkan untuk asas tempat segala-galanya berdiri.

Cara DNSSEC sebenarnya berfungsi (supaya langkah-langkah masuk akal)

DNSSEC mempunyai dua bahagian yang berada di dua tempat:

• Hos DNS anda (Cloudflare) menandatangani rekod anda dan menerbitkan kunci awam (DNSKEY) serta cap jari kecilnya yang dipanggil rekod DS.
• Pendaftar anda (tempat anda membeli dan memperbaharui domain) menerbitkan rekod DS tersebut ke zon induk (contohnya .com).

Rekod DS di pendaftar adalah pautan dalam rantai kepercayaan. Cloudflare boleh menandatangani sepanjang hari, tetapi sehingga rekod DS yang sepadan didaftarkan di pendaftar anda, internet yang lebih luas tidak mempunyai cara bertandatangan untuk mempercayai tandatangan tersebut. Jadi tugasnya adalah dua langkah: hidupkan di Cloudflare, kemudian serahkan rekod DS kepada pendaftar anda.

Risiko sebenar — lakukan ini dengan berhati-hati

DNSSEC boleh membawa domain anda sepenuhnya offline jika dilakukan dengan salah. Dua cara itu berlaku:

• Menerbitkan rekod DS di pendaftar yang tidak sepadan dengan apa yang sebenarnya ditandatangani oleh hos DNS anda.
• Memindahkan DNS anda ke hos berbeza (atau mematikan Cloudflare) tanpa dahulu membuang rekod DS di pendaftar — rekod DS lama terus menuntut tandatangan yang tidak lagi wujud, dan carian mula gagal.

Kedua-duanya tidak berbahaya jika anda mengikut aliran di bawah mengikut urutan dan tidak pernah memadam rekod DS di pendaftar semasa Cloudflare masih menjadi hos penandatanganan anda. Jika anda pernah bercadang untuk beralih dari Cloudflare, lumpuhkan DNSSEC dan buang rekod DS di pendaftar dahulu, kemudian baru pindah.

Sahkan Cloudflare menguruskan DNS anda

Ini hanya berfungsi jika Cloudflare menjawab DNS untuk domain anda. Cloudflare adalah hos DNS anda, bukan semestinya syarikat yang anda beli domain dari. DNS Cloudflare hanya aktif apabila nameserver domain anda menunjuk ke nameserver Cloudflare yang ditunjukkan dalam papan pemuka anda. Buka domain anda di Cloudflare dan semak halaman Overview untuk mengesahkan Cloudflare aktif. Jika nameserver anda menunjuk ke tempat lain, hidupkan DNSSEC di penyedia yang menguruskan DNS anda.

Langkah demi langkah di Cloudflare

1. Log masuk ke Cloudflare dan pilih domain anda.
2. Dalam menu kiri, pergi ke DNS, kemudian Settings (papan pemuka lama menunjukkan bahagian DNSSEC terus di bawah DNS).
3. Cari DNSSEC dan klik Enable DNSSEC.
4. Cloudflare akan memaparkan panel nilai — yang penting ialah rekod DS. Anda biasanya akan melihat medan seperti Key Tag, Algorithm, Digest Type, Digest, dan baris rekod DS tunggal yang sudah siap. Biarkan panel ini terbuka; anda perlu menyalin ini ke pendaftar anda.
5. Sekarang log masuk ke pendaftar anda (syarikat yang anda perbaharui domain dengannya — ini mungkin atau mungkin bukan Cloudflare).
6. Cari bahagian DNSSEC atau rekod DS untuk domain anda di pendaftar dan tambah rekod DS baru menggunakan nilai tepat yang diberikan Cloudflare kepada anda:
   • Key Tag — nombor yang ditunjukkan Cloudflare.
   • Algorithm — biasanya 13 (ECDSA P-256 SHA-256).
   • Digest Type — biasanya 2 (SHA-256).
   • Digest — rentetan heksadesimal panjang, disalin tepat-tepat.
7. Simpan di pendaftar. Jika pendaftar anda membolehkan anda menampal baris rekod DS gabungan tunggal dan bukannya medan berasingan, gunakan baris DS penuh yang dipaparkan Cloudflare.
8. Kembali di Cloudflare, setelah pendaftar menerima rekod DS, status DNSSEC Cloudflare akan bergerak ke aktif (ini boleh mengambil sedikit masa untuk disahkan).

Kesilapan lazim di Cloudflare

• Dua sistem, bukan satu. Menghidupkan DNSSEC di Cloudflare sahaja tidak membuat apa-apa kesan sendiri — rekod DS juga mesti didaftarkan di pendaftar anda. Orang ramai berhenti selepas langkah 3 dan tertanya-tanya mengapa ia tidak pernah aktif.
• Salin digest dengan tepat. Satu aksara yang salah atau hilang dalam Digest bermakna rekod DS pendaftar tidak akan sepadan dengan tandatangan Cloudflare, yang merupakan tepat konfigurasi salah yang membawa domain offline. Salin dan tampal; jangan taip semula.
• Padankan nombor algorithm dan digest-type. Jika pendaftar anda meminta ini secara berasingan, gunakan nilai yang ditunjukkan Cloudflare — jangan teka.
• Jika Cloudflare juga pendaftar anda, langkah DS dikendalikan secara dalaman dan anda mungkin tidak melihat borang pendaftar berasingan — tetapi sahkan DNSSEC menunjukkan sebagai aktif sebelum menganggap ia selesai.
• Jangan sekali-kali buang rekod DS semasa Cloudflare masih menandatangani. Dan jika anda pernah berhijrah DNS dari Cloudflare, lumpuhkan DNSSEC dan kosongkan rekod DS di pendaftar sebelum berpindah.
• Beri masa. Perubahan DNSSEC boleh mengambil dari beberapa minit hingga sehari untuk disebarkan sepenuhnya dan ditunjukkan sebagai aktif.

Sahkan ia berfungsi

Setelah DNSSEC menunjukkan sebagai aktif di Cloudflare dan rekod DS sudah ada di pendaftar anda, jalankan semakan percuma di laman ini. Ia akan memberitahu anda dalam bahasa mudah sama ada DNSSEC diterbitkan dengan betul dan dipercayai untuk domain anda.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.