Defaults.Exposed › Persediaan › DNSSEC

Cara menyediakan DNSSEC di GoDaddy

Hidupkan DNSSEC di GoDaddy dengan satu togol supaya tiada siapa yang boleh memalsukan jawapan DNS anda dan merampas domain anda.

Mengapa ini penting untuk perniagaan anda

Apabila seseorang melawat laman web anda atau menghantar emel kepada anda, komputer mereka terlebih dahulu bertanya sistem DNS untuk alamat yang betul. Jawapan tersebut biasanya bergerak tanpa tandatangan, jadi penyerang yang boleh mengganggu carian boleh secara senyap menghantar pelawat anda ke laman palsu atau mengalihkan emel anda ke pelayan mereka sendiri — sementara domain sebenar anda masih terpapar dalam bar alamat.

DNSSEC menghentikan itu. Ia menandatangani jawapan DNS anda secara kriptografi, supaya sesiapa yang mencari anda boleh membuktikan jawapan itu benar-benar datang dari anda dan tidak diubah dalam transit. Dalam bahasa mudah: ia menyekat rampasan domain dan keracunan cache, serangan yang menggunakan domain anda sendiri untuk menyerang pelanggan anda. Ia percuma, dan di GoDaddy ia biasanya hanya satu togol.

Cara DNSSEC berfungsi (dan mengapa GoDaddy mudah di sini)

DNSSEC mempunyai dua bahagian: hos DNS menandatangani rekod anda dan menerbitkan kunci (DNSKEY) serta cap jari kecil yang dipanggil rekod DS, dan pendaftar mendaftarkan rekod DS tersebut dalam zon induk supaya seluruh internet boleh mempercayai tandatangan.

Apabila GoDaddy adalah kedua-dua pendaftar dan hos DNS anda — yang berlaku untuk kebanyakan domain GoDaddy yang menggunakan nameserver GoDaddy — GoDaddy melakukan kedua-dua bahagian untuk anda. Anda membalikkan satu togol; GoDaddy menjana kunci dan mendaftarkan rekod DS ke rantai secara automatik. Tiada perlu menyalin nilai antara sistem.

Risiko sebenar — apabila ia tidak semudah itu

DNSSEC boleh membawa domain anda offline jika dikonfigurasi dengan salah. Bahaya timbul terutamanya apabila pendaftar dan hos DNS adalah syarikat yang berbeza, atau apabila anda berpindah hos DNS:

• Jika domain anda didaftarkan di GoDaddy tetapi DNS dihoskan di tempat lain, togol satu klik GoDaddy tidak terpakai — anda mesti menghidupkan penandatanganan di hos DNS sebenar anda dan menambah rekod DS ke GoDaddy secara manual.
• Jika anda pernah memindahkan DNS anda dari GoDaddy, matikan DNSSEC dahulu. Rekod DS yang tertinggal yang tidak lagi sepadan dengan mana-mana hos penandatanganan aktif akan menyebabkan carian gagal dan domain menjadi gelap.

Jika GoDaddy adalah kedua-dua pendaftar dan hos DNS, aliran satu klik di bawah adalah selamat.

Sahkan GoDaddy menguruskan DNS anda

Ini hanya penting jika GoDaddy sebenarnya menjawab DNS untuk domain anda. Semak bahawa domain anda menggunakan nameserver GoDaddy: dalam akaun GoDaddy anda, buka domain dan lihat tetapan Nameservers-nya. Jika ia menunjukkan nameserver GoDaddy sendiri, togol satu klik adalah laluan yang betul. Jika nameserver menunjuk ke penyedia lain (contohnya hos DNS berasingan), hidupkan DNSSEC di penyedia tersebut, kemudian tambah rekod DS yang diberikannya ke GoDaddy.

Langkah demi langkah di GoDaddy (satu klik, GoDaddy adalah pendaftar dan hos DNS)

1. Log masuk ke akaun GoDaddy anda.
2. Pergi ke My Products (atau Domain Portfolio).
3. Cari domain anda dan buka halaman pengurusannya — klik nama domain atau menu tiga titik dan pilih Manage DNS / Domain Settings.
4. Tatal ke bahagian Additional Settings (pada sesetengah akaun ia muncul di bawah DNS Management).
5. Cari DNSSEC dan klik Manage atau togol.
6. Tukar DNSSEC ke on.
7. Sahkan. GoDaddy menjana kunci, menandatangani zon anda, dan menerbitkan rekod DS ke rantai untuk anda — tiada apa yang perlu disalin ke tempat lain.

Langkah demi langkah apabila DNS dihoskan di tempat lain

Jika GoDaddy hanyalah pendaftar anda dan syarikat lain mengehoskan DNS anda:

1. Hidupkan DNSSEC di hos DNS anda dahulu dan salin rekod DS yang dihasilkannya (anda perlukan Key Tag, Algorithm, Digest Type, dan Digest).
2. Di GoDaddy, buka domain dan cari bahagian DNSSEC di bawah Additional Settings.
3. Pilih untuk menambah rekod DS dan masukkan nilai dari hos DNS anda dengan tepat.
4. Simpan. Rekod DS kini didaftarkan dalam zon induk, melengkapkan rantai.

Kesilapan lazim di GoDaddy

• Semak siapa yang mengehoskan DNS anda dahulu. Togol satu klik yang mudah hanya melakukan keseluruhan kerja apabila GoDaddy adalah kedua-dua pendaftar dan hos DNS. Jika DNS berada di tempat lain, togol sahaja tidak mencukupi.
• Jangan hidupkan di dua tempat. Jika hos DNS anda sudah menandatangani zon, anda hanya menambah rekod DS-nya di GoDaddy — anda tidak juga membalikkan togol penandatanganan GoDaddy sendiri, atau anda akan mempunyai dua persediaan yang bersaing.
• Salin nilai DS dengan tepat apabila memasukkannya secara manual. Satu aksara yang salah dalam Digest memecahkan rantai dan boleh membawa domain offline.
• Matikan DNSSEC sebelum memindahkan DNS. Berhijrah ke hos DNS baru dengan rekod DS basi yang masih ada adalah cara klasik untuk menjatuhkan domain.
• Beri masa. Perubahan boleh mengambil dari beberapa minit hingga sehari untuk disebarkan sepenuhnya.

Sahkan ia berfungsi

Setelah DNSSEC dihidupkan (dan mana-mana rekod DS sudah ada), jalankan semakan percuma di laman ini. Ia akan memberitahu anda dalam bahasa mudah sama ada DNSSEC diterbitkan dengan betul dan dipercayai untuk domain anda.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.