Defaults.Exposed › Oppsett › DNSSEC

Slik setter du opp DNSSEC på GoDaddy

Slå på DNSSEC i GoDaddy med én bryter slik at ingen kan forfalske DNS-svarene dine og kapre domenet ditt.

Derfor er dette viktig for virksomheten din

Når noen besøker nettstedet ditt eller sender deg e-post, spør datamaskinen DNS-systemet om riktig adresse. Disse svarene reiser normalt usignert, slik at en angriper som kan manipulere oppslaget, stille kan sende besøkende dine til et falskt nettsted eller rute e-posten din til sin egen server — mens ditt ekte domene fortsatt vises i adressefeltet.

DNSSEC stopper dette. Det kryptografisk signerer DNS-svarene dine, slik at alle som slår deg opp, kan bevise at svaret virkelig kom fra deg og ikke ble endret underveis. Enkelt sagt: det blokkerer domenekaping og cache-forgiftning, angrepene som gjør ditt eget domene til et våpen mot kundene dine. Det er gratis, og på GoDaddy er det vanligvis én enkelt bryter.

Slik fungerer DNSSEC (og hvorfor GoDaddy er enkelt her)

DNSSEC har to halvdeler: DNS-verten signerer postene dine og publiserer nøklene (en DNSKEY) pluss et lite fingeravtrykk kalt en DS-post, og registraren registrerer den DS-posten i foreldresonen slik at resten av internett kan stole på signaturene.

Når GoDaddy er både registraren og DNS-verten din — som det er for de fleste GoDaddy-domener som bruker GoDaddy nameservere — gjør GoDaddy begge halvdelene for deg. Du bytter én bryter; GoDaddy genererer nøklene og registrerer DS-posten opp i kjeden automatisk. Ingen kopiering av verdier mellom systemer.

Den reelle risikoen — når det ikke er så enkelt

DNSSEC kan ta domenet ditt offline ved feilkonfigurasjon. Faren oppstår hovedsakelig når registraren og DNS-verten er forskjellige selskaper, eller når du bytter DNS-vert:

• Hvis domenet er registrert hos GoDaddy men DNS-en er hostet andre steder, gjelder ikke GoDaddys ett-klikks-bryter — du må aktivere signering hos den faktiske DNS-verten og legge til DS-posten i GoDaddy manuelt.
• Hvis du noen gang flytter DNS bort fra GoDaddy, slå av DNSSEC først. En etterlatt DS-post som ikke lenger samsvarer med noen aktiv signeringsvert, vil få oppslag til å feile og domenet til å gå mørkt.

Hvis GoDaddy er både registrar og DNS-vert, er ett-klikks-flyten nedenfor trygg.

Bekreft at GoDaddy håndterer DNS-en din

Dette er bare relevant hvis GoDaddy faktisk svarer på DNS for domenet ditt. Sjekk at domenet bruker GoDaddy nameservere: i GoDaddy-kontoen din åpner du domenet og ser på Nameservers-innstillingen. Viser den GoDaddys egne nameservere, er ett-klikks-bryteren riktig vei. Peker nameserverne på en annen leverandør (for eksempel en separat DNS-vert), aktiver DNSSEC hos den leverandøren i stedet, og legg deretter til DS-posten den gir deg i GoDaddy.

Steg for steg på GoDaddy (ett klikk, GoDaddy er registrar og DNS-vert)

1. Logg inn på GoDaddy-kontoen din.
2. Gå til My Products (eller Domain Portfolio).
3. Finn domenet ditt og åpne administrasjonssiden — klikk domenenavnet eller tretrinnsmenyen og velg Manage DNS / Domain Settings.
4. Rull til seksjonen Additional Settings (på noen kontoer vises den under DNS Management).
5. Finn DNSSEC og klikk Manage eller bryteren.
6. Sett DNSSEC til on.
7. Bekreft. GoDaddy genererer nøklene, signerer sonen din og publiserer DS-posten opp i kjeden for deg — det er ingenting å kopiere andre steder.

Steg for steg når DNS-en er hostet et annet sted

Hvis GoDaddy bare er registraren din og et annet selskap hoster DNS-en:

1. Aktiver DNSSEC hos DNS-verten din først og kopier DS-posten den produserer (du trenger Key Tag, Algorithm, Digest Type og Digest).
2. I GoDaddy åpner du domenet og finner DNSSEC-seksjonen under Additional Settings.
3. Velg å legge til en DS-post og skriv inn verdiene fra DNS-verten nøyaktig.
4. Lagre. DS-posten er nå registrert i foreldresonen og kjeden er komplett.

Vanlige feil på GoDaddy

• Sjekk hvem som hoster DNS-en din først. Den enkle ett-klikks-bryteren gjør hele jobben bare når GoDaddy er både registrar og DNS-vert. Er DNS-en et annet sted, er bryteren alene ikke nok.
• Ikke slå det på to steder. Hvis DNS-verten din allerede signerer sonen, legger du bare til dens DS-post hos GoDaddy — du aktiverer ikke også GoDaddys egen signeringsbryter, ellers har du to konkurrerende oppsett.
• Kopier DS-verdier nøyaktig når du angir dem manuelt. Ett feil tegn i Digest bryter kjeden og kan ta domenet offline.
• Slå av DNSSEC før du flytter DNS. Migrering til en ny DNS-vert med en foreldet DS-post fortsatt på plass er den klassiske måten å ta et domene offline.
• Gi det tid. Endringer kan ta fra minutter til en dag å spre seg fullt ut.

Bekreft at det fungerte

Når DNSSEC er slått på (og eventuelle DS-poster er på plass), kjør den gratis sjekken på dette nettstedet. Den forteller deg på klartekst om DNSSEC er korrekt publisert og klarert for domenet ditt.

Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.