Defaults.Exposed › Oppsett › DNSSEC

Slik setter du opp DNSSEC på Cloudflare

Slå på DNSSEC i Cloudflare og legg til DS-posten hos registraren din slik at ingen kan forfalske DNS-svarene dine.

Derfor er dette viktig for virksomheten din

Når noen skriver inn domenet ditt eller sender deg e-post, spør datamaskinen DNS-systemet om riktig adresse. Normalt reiser disse svarene usignert, noe som betyr at en angriper som kan manipulere dem, kan sende besøkende til et falskt nettsted i det stille eller rute e-posten din til sin egen server. Kundene dine ser ditt ekte domene i adressefeltet hele tiden.

DNSSEC lukker dette gapet. Det kryptografisk signerer DNS-svarene dine, slik at den som slår deg opp, kan bevise at svaret virkelig kom fra deg og ikke ble endret underveis. Enkelt sagt: det stopper kriminelle fra å kapre domenet ditt eller forgifte oppslagene som peker folk mot deg. Det er gratis, og det er en av de sterkeste beskyttelsene du kan slå på for grunnlaget alt annet hviler på.

Slik fungerer DNSSEC (for å forstå stegene)

DNSSEC har to halvdeler som befinner seg to steder:

• DNS-verten din (Cloudflare) signerer postene dine og publiserer de offentlige nøklene (en DNSKEY) pluss et lite fingeravtrykk av dem kalt en DS-post.
• Registraren din (der du kjøpte og fornyer domenet) publiserer den DS-posten opp til foreldresonen (for eksempel .com).

DS-posten hos registraren er lenken i tillitskjeden. Cloudflare kan signere hele dagen, men inntil den tilsvarende DS-posten er registrert hos registraren din, har det bredere internett ingen signert måte å stole på disse signaturene på. Jobben er altså to steg: slå det på i Cloudflare, og gi deretter DS-posten til registraren din.

Den reelle risikoen — gjør dette nøye

DNSSEC kan ta hele domenet ditt offline hvis det gjøres feil. De to måtene det skjer på:

• Publisering av en DS-post hos registraren som ikke stemmer med det DNS-verten din faktisk signerer med.
• Flytte DNS-en til en annen vert (eller slå av Cloudflare) uten å først fjerne DS-posten hos registraren — den gamle DS-posten fortsetter å kreve signaturer som ikke lenger finnes, og oppslag begynner å feile.

Ingen av delene er farlig hvis du følger flyten nedenfor i rekkefølge og aldri sletter DS-posten hos registraren mens Cloudflare fortsatt er signeringsvert. Planlegger du noen gang å flytte vekk fra Cloudflare, deaktiver DNSSEC og fjern DS-posten hos registraren først, og flytt deretter.

Bekreft at Cloudflare håndterer DNS-en din

Dette fungerer bare hvis Cloudflare svarer på DNS for domenet ditt. Cloudflare er DNS-verten din, ikke nødvendigvis selskapet du kjøpte domenet fra. Cloudflares DNS er bare aktiv når domenet ditt sine nameservere peker på Cloudflare-nameserverne som vises i dashbordet ditt. Åpne domenet ditt i Cloudflare og sjekk Overview-siden for å bekrefte at Cloudflare er aktivt. Peker nameserverne andre steder, aktiver DNSSEC hos den leverandøren som håndterer DNS-en din i stedet.

Steg for steg på Cloudflare

1. Logg inn på Cloudflare og velg domenet ditt.
2. I menyen til venstre går du til DNS, deretter Settings (eldre dashbord viser en DNSSEC-seksjon direkte under DNS).
3. Finn DNSSEC og klikk Enable DNSSEC.
4. Cloudflare viser et panel med verdier — den viktige er DS-posten. Du ser vanligvis felt som Key Tag, Algorithm, Digest Type, Digest og en ferdig enkeltlinje-DS-post. La dette panelet stå åpent; du trenger å kopiere disse til registraren din.
5. Logg nå inn hos registraren din (selskapet du fornyer domenet med — dette er kanskje ikke Cloudflare).
6. Finn DNSSEC- eller DS-post-seksjonen for domenet ditt hos registraren og legg til en ny DS-post med de nøyaktige verdiene Cloudflare ga deg:
   • Key Tag — nummeret Cloudflare viser.
   • Algorithm — vanligvis 13 (ECDSA P-256 SHA-256).
   • Digest Type — vanligvis 2 (SHA-256).
   • Digest — den lange heksadesimale strengen, kopiert nøyaktig.
7. Lagre hos registraren. Lar registraren deg lime inn én kombinert DS-postlinje i stedet for separate felt, bruk hele DS-linjen Cloudflare viste.
8. Tilbake i Cloudflare vil DNSSEC-statusen flytte til active når registraren har godtatt DS-posten (dette kan ta litt tid å bekrefte).

Vanlige feil på Cloudflare

• To systemer, ikke ett. Å aktivere DNSSEC i Cloudflare alene gjør ingenting på egen hånd — DS-posten må også registreres hos registraren din. Folk stopper etter steg 3 og lurer på hvorfor det aldri blir aktivt.
• Kopier digest nøyaktig. Ett feil eller manglende tegn i Digest betyr at registrarens DS-post ikke vil stemme med Cloudflares signaturer, som er nøyaktig den feilkonfigurasjonen som tar et domene offline. Kopier og lim inn; skriv aldri av for hånd.
• Samsvar algoritme- og digest-type-tallene. Spør registraren om disse separat, bruk verdiene Cloudflare viser — ikke gjett.
• Hvis Cloudflare også er registraren din, håndteres DS-steget internt og du ser kanskje ikke et separat registrarskjema — men bekreft at DNSSEC vises som aktiv før du antar at det er ferdig.
• Fjern aldri DS-posten mens Cloudflare fortsatt signerer. Og hvis du noen gang migrerer DNS vekk fra Cloudflare, deaktiver DNSSEC og fjern DS-posten hos registraren før du flytter.
• Gi det tid. DNSSEC-endringer kan ta fra noen minutter til en dag å spre seg fullt ut og vises som aktive.

Bekreft at det fungerte

Når DNSSEC vises som aktivt i Cloudflare og DS-posten er på plass hos registraren din, kjør den gratis sjekken på dette nettstedet. Den forteller deg på klartekst om DNSSEC er korrekt publisert og klarert for domenet ditt.

Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.