Defaults.Exposed › Oppsett › DNSSEC

Slik setter du opp DNSSEC på Namecheap

Aktiver DNSSEC i Namecheap slik at ingen kan forfalske DNS-svarene dine og omdirigere besøkende eller e-posten din.

Derfor er dette viktig for virksomheten din

Hver gang noen åpner nettstedet ditt eller sender deg e-post, spør datamaskinen DNS-systemet om hvor de finner deg. Disse svarene reiser vanligvis usignert, slik at en angriper som kan forstyrre oppslaget, stille kan sende besøkende dine til et falskt nettsted eller rute e-posten din til sin egen server — alt mens ditt ekte domene fortsatt vises i adressefeltet.

DNSSEC lukker den døren. Det kryptografisk signerer DNS-svarene dine, slik at alle som slår deg opp, kan bekrefte at svaret virkelig kom fra deg og ikke ble tuklet med underveis. Enkelt sagt: det forhindrer domenekaping og cache-forgiftning, angrepene som våpengjør ditt eget domene mot kundene dine. Det er gratis, og når Namecheap kjører DNS-en din er det nær ett klikk.

Slik fungerer DNSSEC (og hvorfor Namecheap kan være enkelt)

DNSSEC har to halvdeler: DNS-verten signerer postene dine og publiserer nøklene (en DNSKEY) pluss et lite fingeravtrykk kalt en DS-post, og registraren registrerer den DS-posten i foreldresonen slik at resten av internett stoler på signaturene.

Når Namecheap er både registraren og DNS-verten din — det vil si at domenet bruker Namecheap BasicDNS / PremiumDNS — håndterer Namecheap begge halvdelene med én enkelt bryter. Det signerer sonen og publiserer DS-posten opp i kjeden for deg. Når DNS-en din er hostet et annet sted, kopierer du i stedet DS-posten fra den verten inn i Namecheap manuelt.

Den reelle risikoen — gjør dette i rekkefølge

DNSSEC kan ta domenet ditt offline hvis det settes opp feil. De to måtene det skjer på:

• En DS-post registrert hos registraren som ikke stemmer med det DNS-verten faktisk signerer med.
• Flytte DNS-en til en annen vert (eller slå av signering) uten å først fjerne DS-posten — den foreldede DS-posten fortsetter å kreve signaturer som ikke lenger finnes, og oppslag feiler.

Planlegger du noen gang å flytte DNS bort fra Namecheap, eller vekk fra Namecheaps nameservere, deaktiver DNSSEC og fjern DS-posten først, og flytt deretter. Følg flyten nedenfor i rekkefølge, så er du trygg.

Bekreft at Namecheap håndterer DNS-en din

Sjekk hva som svarer på DNS for domenet ditt. I Namecheap-kontoen din åpner du domenet og ser på Nameservers-innstillingen på Domain-fanen:

• Er den satt til Namecheap BasicDNS eller Namecheap Web Hosting DNS / PremiumDNS, hoster Namecheap DNS-en din — bruk ett-klikks-flyten.
• Viser den Custom DNS som peker på en annen leverandør, hoster den leverandøren DNS-en din — aktiver DNSSEC der først og legg deretter til DS-posten den gir deg i Namecheap.

Steg for steg på Namecheap (Namecheap er registrar og DNS-vert)

1. Logg inn på Namecheap.
2. Gå til Domain List og klikk Manage ved siden av domenet ditt.
3. Åpne Advanced DNS-fanen.
4. Rull til DNSSEC-seksjonen.
5. Sett DNSSEC til on.
6. Bekreft. Med Namecheaps egne DNS signerer Namecheap sonen og publiserer DS-posten opp i kjeden for deg — det er ingenting å kopiere andre steder.

Steg for steg når DNS-en er hostet et annet sted

Hvis Namecheap er registraren din men et annet selskap hoster DNS-en:

1. Aktiver DNSSEC hos DNS-verten din først og kopier DS-post-verdiene den produserer — vanligvis Key Tag, Algorithm, Digest Type og Digest.
2. I Namecheap åpner du domenet og går til Advanced DNS-fanen, deretter DNSSEC-seksjonen.
3. Legg til en DS-post og skriv inn verdiene fra DNS-verten nøyaktig i de tilsvarende feltene.
4. Lagre. DS-posten er nå registrert i foreldresonen og tillitskjeden er komplett.

Vanlige feil på Namecheap

• Bryteren gjør alt bare når Namecheap også hoster DNS-en din. På Custom DNS er det ikke nok å slå den på alene — du må lime inn DS-posten fra den faktiske DNS-verten din.
• Ikke dobbeltsigner. Hvis den eksterne DNS-verten allerede signerer sonen, legger du bare inn dens DS-post hos Namecheap — du aktiverer ikke også Namecheaps egne signering.
• Kopier DS-verdier tegn for tegn. Ett feil siffer i Digest betyr at DS-en ikke vil stemme med signaturene, som er nøyaktig det som tar et domene offline. Lim inn, skriv aldri av for hånd.
• Samsvar algoritme- og digest-type-tallene med det DNS-verten din rapporterer — ikke gjett.
• Deaktiver DNSSEC før du bytter nameservere. Å bytte DNS-vert med en foreldet DS-post fortsatt på plass er den klassiske måten å ta et domene offline.
• Gi det tid. Endringer kan ta fra minutter til en dag å spre seg fullt ut.

Bekreft at det fungerte

Når DNSSEC er slått på (og eventuelle DS-poster er på plass), kjør den gratis sjekken på dette nettstedet. Den forteller deg på klartekst om DNSSEC er korrekt publisert og klarert for domenet ditt.

Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.