Defaults.Exposed › Persediaan › DNSSEC

Cara menyediakan DNSSEC di Namecheap

Hidupkan DNSSEC di Namecheap supaya tiada siapa yang boleh memalsukan jawapan DNS anda dan mengalihkan pelawat atau emel anda.

Mengapa ini penting untuk perniagaan anda

Setiap kali seseorang membuka laman web anda atau menghantar emel kepada anda, komputer mereka bertanya sistem DNS di mana hendak mencari anda. Jawapan tersebut biasanya bergerak tanpa tandatangan, jadi penyerang yang boleh mengganggu carian boleh secara senyap menghantar pelawat anda ke laman palsu atau mengalihkan emel anda ke pelayan mereka sendiri — semuanya sementara domain tulen anda masih terpapar dalam bar alamat.

DNSSEC menutup pintu itu. Ia menandatangani jawapan DNS anda secara kriptografi, supaya sesiapa yang mencari anda boleh mengesahkan jawapan itu benar-benar datang dari anda dan tidak diusik sepanjang perjalanan. Dalam bahasa mudah: ia mencegah rampasan domain dan keracunan cache, serangan yang menjadikan domain anda sendiri sebagai senjata menentang pelanggan anda. Ia percuma, dan apabila Namecheap menjalankan DNS anda ia hampir satu klik.

Cara DNSSEC berfungsi (dan mengapa Namecheap boleh mudah)

DNSSEC mempunyai dua bahagian: hos DNS menandatangani rekod anda dan menerbitkan kunci (DNSKEY) serta cap jari kecil yang dipanggil rekod DS, dan pendaftar mendaftarkan rekod DS tersebut dalam zon induk supaya seluruh internet mempercayai tandatangan.

Apabila Namecheap adalah kedua-dua pendaftar dan hos DNS anda — iaitu, domain anda menggunakan Namecheap BasicDNS / PremiumDNS — Namecheap mengendalikan kedua-dua bahagian dengan satu togol. Ia menandatangani zon dan menerbitkan rekod DS ke rantai untuk anda. Apabila DNS anda dihoskan di tempat lain, anda menyalin rekod DS dari hos tersebut ke Namecheap secara manual.

Risiko sebenar — lakukan ini mengikut urutan

DNSSEC boleh membawa domain anda offline jika disediakan dengan salah. Dua cara itu berlaku:

• Rekod DS yang didaftarkan di pendaftar yang tidak sepadan dengan apa yang ditandatangani oleh hos DNS.
• Memindahkan DNS anda ke hos berbeza (atau mematikan penandatanganan) tanpa dahulu membuang rekod DS — rekod DS basi terus menuntut tandatangan yang tidak lagi wujud, dan carian gagal.

Jadi: jika anda pernah memindahkan DNS dari Namecheap, atau dari nameserver Namecheap, lumpuhkan DNSSEC dan kosongkan rekod DS dahulu, kemudian baru pindah. Ikut aliran di bawah mengikut urutan dan anda selamat.

Sahkan Namecheap menguruskan DNS anda

Semak apa yang menjawab DNS untuk domain anda. Dalam akaun Namecheap anda, buka domain dan lihat tetapan Nameservers pada tab Domain:

• Jika ia ditetapkan ke Namecheap BasicDNS atau Namecheap Web Hosting DNS / PremiumDNS, Namecheap mengehoskan DNS anda — gunakan aliran satu klik.
• Jika ia menunjukkan Custom DNS yang menunjuk ke penyedia lain, penyedia tersebut mengehoskan DNS anda — hidupkan DNSSEC di sana dahulu, kemudian tambah rekod DS yang diberikannya ke Namecheap.

Langkah demi langkah di Namecheap (Namecheap adalah pendaftar dan hos DNS)

1. Log masuk ke Namecheap.
2. Pergi ke Domain List dan klik Manage di sebelah domain anda.
3. Buka tab Advanced DNS.
4. Tatal ke bahagian DNSSEC.
5. Tukar DNSSEC ke on.
6. Sahkan. Dengan DNS Namecheap sendiri, Namecheap menandatangani zon dan menerbitkan rekod DS ke rantai untuk anda — tiada apa yang perlu disalin ke tempat lain.

Langkah demi langkah apabila DNS dihoskan di tempat lain

Jika Namecheap adalah pendaftar anda tetapi syarikat lain mengehoskan DNS anda:

1. Hidupkan DNSSEC di hos DNS anda dahulu dan salin nilai rekod DS yang dihasilkannya — biasanya Key Tag, Algorithm, Digest Type, dan Digest.
2. Di Namecheap, buka domain dan pergi ke tab Advanced DNS, kemudian bahagian DNSSEC.
3. Tambah rekod DS dan masukkan nilai dari hos DNS anda dengan tepat ke dalam medan yang sepadan.
4. Simpan. Rekod DS kini didaftarkan dalam zon induk, melengkapkan rantai kepercayaan.

Kesilapan lazim di Namecheap

• Togol hanya melakukan segalanya apabila Namecheap juga mengehoskan DNS anda. Pada Custom DNS, membalikkannya sahaja tidak mencukupi — anda mesti menampal rekod DS dari hos DNS sebenar anda.
• Jangan tandatangani dua kali. Jika hos DNS luaran anda sudah menandatangani zon, anda hanya memasukkan rekod DS-nya di Namecheap — anda tidak juga menghidupkan penandatanganan Namecheap sendiri.
• Salin nilai DS aksara demi aksara. Satu digit yang salah dalam Digest bermakna DS tidak akan sepadan dengan tandatangan, yang merupakan tepat apa yang membawa domain offline. Tampal, jangan taip semula.
• Padankan nombor algorithm dan digest-type dengan apa yang dilaporkan oleh hos DNS anda — jangan teka.
• Lumpuhkan DNSSEC sebelum menukar nameserver. Menukar hos DNS dengan rekod DS basi yang masih ada adalah cara klasik untuk menjatuhkan domain.
• Beri masa. Perubahan boleh mengambil dari beberapa minit hingga sehari untuk disebarkan sepenuhnya.

Sahkan ia berfungsi

Setelah DNSSEC dihidupkan (dan mana-mana rekod DS sudah ada), jalankan semakan percuma di laman ini. Ia akan memberitahu anda dalam bahasa mudah sama ada DNSSEC diterbitkan dengan betul dan dipercayai untuk domain anda.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.