Defaults.Exposed › Konfiguracja › DNSSEC

Jak skonfigurować DNSSEC w GoDaddy

Włącz DNSSEC w GoDaddy jednym przełącznikiem, aby nikt nie mógł sfałszować odpowiedzi Twojego DNS i przejąć domeny.

Dlaczego to ważne dla Twojej firmy

Gdy ktoś odwiedza Twoją witrynę lub wysyła do Ciebie e-mail, jego komputer najpierw pyta system DNS o właściwy adres. Zwykle te odpowiedzi podróżują niepodpisane, więc atakujący, który potrafi zmodyfikować zapytanie, może po cichu skierować Twoich odwiedzających na fałszywą stronę lub przekierować Twoją pocztę na własny serwer — a w pasku adresu wciąż widać Twoją prawdziwą domenę.

DNSSEC to powstrzymuje. Kryptograficznie podpisuje odpowiedzi Twojego DNS, więc każdy, kto sprawdza Twój adres, może udowodnić, że odpowiedź naprawdę pochodzi od Ciebie i nie została zmieniona w drodze. Mówiąc prościej: blokuje przejęcie domeny i zatrucie pamięci podręcznej — ataki, które obracają Twoją własną domenę przeciwko klientom. Jest darmowy, a w GoDaddy zwykle sprowadza się do jednego przełącznika.

Jak działa DNSSEC (i dlaczego w GoDaddy jest łatwo)

DNSSEC ma dwie połowy: host DNS podpisuje Twoje rekordy i publikuje klucze (DNSKEY) plus mały odcisk zwany rekordem DS (Delegation Signer), a rejestrator składa ten rekord DS w strefie nadrzędnej, aby reszta internetu mogła zaufać podpisom.

Gdy GoDaddy jest jednocześnie Twoim rejestratorem i hostem DNS — a tak jest dla większości domen GoDaddy korzystających z nameserverów GoDaddy — GoDaddy wykonuje za Ciebie obie połowy. Przełączasz jeden przełącznik; GoDaddy generuje klucze i automatycznie składa rekord DS w łańcuchu. Bez kopiowania wartości między systemami.

Prawdziwe ryzyko — gdy nie jest tak prosto

Źle skonfigurowany DNSSEC może wyłączyć Twoją domenę. Niebezpieczeństwo pojawia się głównie wtedy, gdy rejestrator i host DNS to różne firmy lub gdy zmieniasz hosty DNS:

• Jeśli Twoja domena jest zarejestrowana w GoDaddy, ale Twój DNS jest hostowany gdzie indziej, jednoklikowy przełącznik GoDaddy nie ma zastosowania — musisz włączyć podpisywanie u swojego prawdziwego hosta DNS i ręcznie dodać rekord DS do GoDaddy.
• Jeśli kiedykolwiek przeniesiesz DNS poza GoDaddy, najpierw wyłącz DNSSEC. Pozostawiony rekord DS, który nie pasuje już do żadnego aktywnego hosta podpisującego, spowoduje zawodzenie zapytań i wygaszenie domeny.

Jeśli GoDaddy jest jednocześnie rejestratorem i hostem DNS, poniższy jednoklikowy przepływ jest bezpieczny.

Sprawdź, czy DNS obsługuje GoDaddy

Ma to znaczenie tylko wtedy, gdy to GoDaddy faktycznie odpowiada za DNS Twojej domeny. Sprawdź, czy domena używa nameserverów GoDaddy: w koncie GoDaddy otwórz domenę i spójrz na ustawienie Nameservers. Jeśli widać nameservery GoDaddy, jednoklikowy przełącznik to właściwa droga. Jeśli nameservery wskazują na innego dostawcę (na przykład osobny host DNS), włącz DNSSEC u tego dostawcy, a następnie dodaj do GoDaddy rekord DS, który Ci poda.

Krok po kroku w GoDaddy (jedno kliknięcie, GoDaddy jest rejestratorem i hostem DNS)

1. Zaloguj się do swojego konta GoDaddy.
2. Przejdź do My Products (lub Domain Portfolio).
3. Znajdź swoją domenę i otwórz jej stronę zarządzania — kliknij nazwę domeny lub menu z trzema kropkami i wybierz Manage DNS / Domain Settings.
4. Przewiń do sekcji Additional Settings (na niektórych kontach pojawia się pod DNS Management).
5. Znajdź DNSSEC i kliknij Manage lub przełącznik.
6. Przełącz DNSSEC na on.
7. Potwierdź. GoDaddy generuje klucze, podpisuje Twoją strefę i publikuje za Ciebie rekord DS w łańcuchu — nie ma nic do skopiowania gdzie indziej.

Krok po kroku, gdy Twój DNS jest hostowany gdzie indziej

Jeśli GoDaddy jest tylko Twoim rejestratorem, a inna firma hostuje Twój DNS:

1. Najpierw włącz DNSSEC u swojego hosta DNS i skopiuj rekord DS, który wytworzy (będziesz potrzebować Key Tag, Algorithm, Digest Type oraz Digest).
2. W GoDaddy otwórz domenę i znajdź sekcję DNSSEC pod Additional Settings.
3. Wybierz opcję dodania rekordu DS i wprowadź wartości od swojego hosta DNS dokładnie.
4. Zapisz. Rekord DS jest teraz złożony w strefie nadrzędnej, domykając łańcuch.

Pułapki GoDaddy, w które ludzie wpadają

• Najpierw sprawdź, kto hostuje Twój DNS. Prosty jednoklikowy przełącznik wykonuje całą pracę tylko wtedy, gdy GoDaddy jest jednocześnie rejestratorem i hostem DNS. Jeśli DNS jest gdzie indziej, sam przełącznik nie wystarczy.
• Nie włączaj w dwóch miejscach. Jeśli Twój host DNS już podpisuje strefę, w GoDaddy tylko dodajesz jego rekord DS — nie przełączasz też własnego przełącznika podpisywania GoDaddy, inaczej będziesz mieć dwie konkurujące konfiguracje.
• Kopiuj wartości DS dokładnie, gdy wpisujesz je ręcznie. Jeden błędny znak w Digest psuje łańcuch i może wyłączyć domenę.
• Wyłącz DNSSEC przed przeniesieniem DNS. Migracja do nowego hosta DNS z wciąż obecnym, nieaktualnym rekordem DS to klasyczny sposób na wyłączenie domeny.
• Daj temu czas. Zmiany mogą się w pełni propagować od kilku minut do jednego dnia.

Sprawdź, czy zadziałało

Gdy DNSSEC jest włączony (i każdy rekord DS jest na miejscu), uruchom darmowy test na tej stronie. Powie Ci prostym językiem, czy DNSSEC jest poprawnie opublikowany i zaufany dla Twojej domeny.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.