Defaults.Exposed › Konfiguracja › DNSSEC

Jak skonfigurować DNSSEC w Cloudflare

Włącz DNSSEC w Cloudflare i dodaj rekord DS u swojego rejestratora, aby nikt nie mógł sfałszować odpowiedzi Twojego DNS.

Dlaczego to ważne dla Twojej firmy

Gdy ktoś wpisuje adres Twojej domeny lub wysyła do Ciebie e-mail, jego komputer pyta system DNS o właściwy adres. Zwykle te odpowiedzi podróżują niepodpisane, co oznacza, że atakujący, który potrafi je zmodyfikować, może po cichu skierować Twoich odwiedzających na fałszywą witrynę lub przekierować Twoją pocztę na własny serwer. Przez cały ten czas klienci widzą w pasku adresu Twoją prawdziwą domenę.

DNSSEC zamyka tę lukę. Kryptograficznie podpisuje odpowiedzi Twojego DNS, więc osoba sprawdzająca Twój adres może udowodnić, że odpowiedź naprawdę pochodzi od Ciebie i nie została po drodze zmieniona. Mówiąc prościej: powstrzymuje przestępców przed przejęciem Twojej domeny lub zatruciem zapytań, które kierują do Ciebie ludzi. Jest darmowy i jest jednym z najsilniejszych zabezpieczeń, jakie możesz włączyć dla fundamentu, na którym opiera się wszystko inne.

Jak naprawdę działa DNSSEC (żeby kroki miały sens)

DNSSEC ma dwie połowy, które mieszkają w dwóch miejscach:

• Twój host DNS (Cloudflare) podpisuje Twoje rekordy i publikuje klucze publiczne (DNSKEY) plus ich mały odcisk zwany rekordem DS (Delegation Signer).
• Twój rejestrator (gdzie kupiłeś i odnawiasz domenę) publikuje ten rekord DS w strefie nadrzędnej (na przykład .com).

Rekord DS u rejestratora to ogniwo w łańcuchu zaufania. Cloudflare może podpisywać bez końca, ale dopóki pasujący rekord DS nie zostanie złożony u Twojego rejestratora, szersza sieć nie ma podpisanego sposobu, by zaufać tym podpisom. Zadanie składa się więc z dwóch kroków: włącz DNSSEC w Cloudflare, a następnie przekaż rekord DS swojemu rejestratorowi.

Prawdziwe ryzyko — zrób to ostrożnie

Źle wykonany DNSSEC może wyłączyć całą Twoją domenę. Dzieje się to na dwa sposoby:

• Opublikowanie u rejestratora rekordu DS, który nie pasuje do tego, czym faktycznie podpisuje Twój host DNS.
• Przeniesienie DNS do innego hosta (lub wyłączenie Cloudflare) bez uprzedniego usunięcia rekordu DS u rejestratora — stary rekord DS nadal wymaga podpisów, których już nie ma, i zapytania zaczynają zawodzić.

Żadne z tych ryzyk nie jest groźne, jeśli będziesz postępować według poniższego przepływu w kolejności i nigdy nie usuniesz rekordu DS u rejestratora, gdy Cloudflare wciąż jest Twoim hostem podpisującym. Jeśli kiedykolwiek planujesz odejść od Cloudflare, najpierw wyłącz DNSSEC i usuń rekord DS u rejestratora, a dopiero potem migruj.

Sprawdź, czy DNS obsługuje Cloudflare

Zadziała to tylko wtedy, gdy to Cloudflare odpowiada za DNS Twojej domeny. Cloudflare jest Twoim hostem DNS, niekoniecznie firmą, od której kupiłeś domenę. DNS Cloudflare działa tylko wtedy, gdy serwery nazw (nameservery) Twojej domeny wskazują na nameservery Cloudflare widoczne w panelu. Otwórz swoją domenę w Cloudflare i sprawdź stronę Overview, aby potwierdzić, że Cloudflare jest aktywny. Jeśli Twoje nameservery wskazują gdzie indziej, włącz DNSSEC u tego dostawcy, który faktycznie obsługuje Twój DNS.

Krok po kroku w Cloudflare

1. Zaloguj się do Cloudflare i wybierz swoją domenę.
2. W menu po lewej przejdź do DNS, a następnie Settings (starsze panele pokazują sekcję DNSSEC bezpośrednio pod DNS).
3. Znajdź DNSSEC i kliknij Enable DNSSEC.
4. Cloudflare wyświetli panel z wartościami — najważniejszy jest rekord DS. Zwykle zobaczysz pola takie jak Key Tag, Algorithm, Digest Type, Digest oraz gotowy, jednoliniowy rekord DS. Zostaw ten panel otwarty; musisz skopiować te wartości do swojego rejestratora.
5. Teraz zaloguj się do swojego rejestratora (firmy, u której odnawiasz domenę — może nią być Cloudflare, ale nie musi).
6. Znajdź u rejestratora sekcję DNSSEC lub rekordu DS dla swojej domeny i dodaj nowy rekord DS, używając dokładnie wartości podanych przez Cloudflare:
   • Key Tag — liczba, którą pokazuje Cloudflare.
   • Algorithm — zwykle 13 (ECDSA P-256 SHA-256).
   • Digest Type — zwykle 2 (SHA-256).
   • Digest — długi ciąg szesnastkowy, skopiowany dokładnie.
7. Zapisz u rejestratora. Jeśli rejestrator pozwala wkleić jedną połączoną linię rekordu DS zamiast osobnych pól, użyj pełnej linii DS wyświetlonej przez Cloudflare.
8. Z powrotem w Cloudflare, gdy rejestrator zaakceptuje rekord DS, status DNSSEC w Cloudflare zmieni się na active (potwierdzenie tego może chwilę potrwać).

Pułapki Cloudflare, w które ludzie wpadają

• Dwa systemy, nie jeden. Samo włączenie DNSSEC w Cloudflare nic nie daje — rekord DS musi też zostać złożony u Twojego rejestratora. Ludzie zatrzymują się po kroku 3 i zastanawiają, czemu status nigdy nie zmienia się na active.
• Skopiuj digest dokładnie. Jeden błędny lub brakujący znak w polu Digest sprawia, że rekord DS u rejestratora nie pasuje do podpisów Cloudflare — a to dokładnie ta wadliwa konfiguracja, która wyłącza domenę. Kopiuj i wklejaj; nigdy nie przepisuj ręcznie.
• Dopasuj numery algorytmu i typu digestu. Jeśli rejestrator prosi o nie osobno, użyj wartości pokazanych przez Cloudflare — nie zgaduj.
• Jeśli Cloudflare jest też Twoim rejestratorem, krok z rekordem DS jest obsługiwany wewnętrznie i możesz nie zobaczyć osobnego formularza rejestratora — ale zanim uznasz to za gotowe, potwierdź, że DNSSEC pokazuje status active.
• Nigdy nie usuwaj rekordu DS, gdy Cloudflare wciąż podpisuje. A jeśli kiedykolwiek migrujesz DNS poza Cloudflare, przed przeniesieniem wyłącz DNSSEC i usuń rekord DS u rejestratora.
• Daj temu czas. Zmiany DNSSEC mogą się w pełni propagować i pokazać jako active od kilku minut do jednego dnia.

Sprawdź, czy zadziałało

Gdy DNSSEC pokaże się jako active w Cloudflare, a rekord DS będzie na miejscu u Twojego rejestratora, uruchom darmowy test na tej stronie. Powie Ci prostym językiem, czy DNSSEC jest poprawnie opublikowany i zaufany dla Twojej domeny.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.