Defaults.Exposed › Konfiguracja › DNSSEC

Jak skonfigurować DNSSEC w Namecheap

Włącz DNSSEC w Namecheap, aby nikt nie mógł sfałszować odpowiedzi Twojego DNS i przekierować Twoich odwiedzających lub pocztę.

Dlaczego to ważne dla Twojej firmy

Za każdym razem, gdy ktoś otwiera Twoją witrynę lub wysyła do Ciebie e-mail, jego komputer pyta system DNS, gdzie Cię znaleźć. Zwykle te odpowiedzi podróżują niepodpisane, więc atakujący, który potrafi zakłócić zapytanie, może po cichu skierować Twoich odwiedzających na podrobioną stronę lub przekierować Twoją pocztę na własny serwer — a przez cały czas w pasku adresu nadal widnieje Twoja prawdziwa domena.

DNSSEC zamyka te drzwi. Kryptograficznie podpisuje odpowiedzi Twojego DNS, więc każdy, kto sprawdza Twój adres, może potwierdzić, że odpowiedź naprawdę pochodzi od Ciebie i nie została po drodze naruszona. Mówiąc prościej: zapobiega przejęciu domeny i zatruciu pamięci podręcznej — atakom, które uzbrajają Twoją własną domenę przeciwko klientom. Jest darmowy, a gdy DNS obsługuje Namecheap, sprowadza się niemal do jednego kliknięcia.

Jak działa DNSSEC (i dlaczego w Namecheap może być prosto)

DNSSEC ma dwie połowy: host DNS podpisuje Twoje rekordy i publikuje klucze (DNSKEY) plus mały odcisk zwany rekordem DS (Delegation Signer), a rejestrator składa ten rekord DS w strefie nadrzędnej, aby reszta internetu ufała podpisom.

Gdy Namecheap jest jednocześnie Twoim rejestratorem i hostem DNS — czyli Twoja domena używa Namecheap BasicDNS / PremiumDNS — Namecheap obsługuje obie połowy jednym przełącznikiem. Podpisuje strefę i publikuje za Ciebie rekord DS w łańcuchu. Gdy Twój DNS jest hostowany gdzie indziej, zamiast tego ręcznie kopiujesz rekord DS z tego hosta do Namecheap.

Prawdziwe ryzyko — zrób to w kolejności

Źle skonfigurowany DNSSEC może wyłączyć Twoją domenę. Dzieje się to na dwa sposoby:

• Rekord DS złożony u rejestratora, który nie pasuje do tego, czym faktycznie podpisuje host DNS.
• Przeniesienie DNS do innego hosta (lub wyłączenie podpisywania) bez uprzedniego usunięcia rekordu DS — nieaktualny rekord DS nadal wymaga podpisów, których już nie ma, i zapytania zawodzą.

Zatem: jeśli kiedykolwiek przeniesiesz DNS poza Namecheap lub poza nameservery Namecheap, najpierw wyłącz DNSSEC i usuń rekord DS, a dopiero potem migruj. Postępuj według poniższego przepływu w kolejności, a będziesz bezpieczny.

Sprawdź, czy DNS obsługuje Namecheap

Sprawdź, co odpowiada za DNS Twojej domeny. W koncie Namecheap otwórz domenę i spójrz na ustawienie Nameservers na zakładce Domain:

• Jeśli jest ustawione na Namecheap BasicDNS lub Namecheap Web Hosting DNS / PremiumDNS, DNS hostuje Namecheap — użyj jednoklikowego przepływu.
• Jeśli widać Custom DNS wskazujące na innego dostawcę, to ten dostawca hostuje Twój DNS — najpierw włącz tam DNSSEC, a następnie dodaj do Namecheap rekord DS, który Ci poda.

Krok po kroku w Namecheap (Namecheap jest rejestratorem i hostem DNS)

1. Zaloguj się do Namecheap.
2. Przejdź do Domain List i kliknij Manage przy swojej domenie.
3. Otwórz zakładkę Advanced DNS.
4. Przewiń do sekcji DNSSEC.
5. Przełącz DNSSEC na on.
6. Potwierdź. Przy własnym DNS Namecheap podpisuje strefę i publikuje za Ciebie rekord DS w łańcuchu — nie ma nic do skopiowania gdzie indziej.

Krok po kroku, gdy Twój DNS jest hostowany gdzie indziej

Jeśli Namecheap jest Twoim rejestratorem, ale inna firma hostuje Twój DNS:

1. Najpierw włącz DNSSEC u swojego hosta DNS i skopiuj wartości rekordu DS, które wytworzy — zwykle Key Tag, Algorithm, Digest Type oraz Digest.
2. W Namecheap otwórz domenę i przejdź do zakładki Advanced DNS, a następnie do sekcji DNSSEC.
3. Dodaj rekord DS i wprowadź wartości od swojego hosta DNS dokładnie w odpowiednie pola.
4. Zapisz. Rekord DS jest teraz złożony w strefie nadrzędnej, domykając łańcuch zaufania.

Pułapki Namecheap, w które ludzie wpadają

• Przełącznik robi wszystko tylko wtedy, gdy Namecheap też hostuje Twój DNS. Przy Custom DNS samo jego przełączenie nie wystarczy — musisz wkleić rekord DS od swojego prawdziwego hosta DNS.
• Nie podpisuj podwójnie. Jeśli Twój zewnętrzny host DNS już podpisuje strefę, w Namecheap tylko wpisujesz jego rekord DS — nie włączasz też własnego podpisywania Namecheap.
• Kopiuj wartości DS znak po znaku. Jedna błędna cyfra w Digest oznacza, że DS nie będzie pasować do podpisów — a to dokładnie to, co wyłącza domenę. Wklejaj, nigdy nie przepisuj.
• Dopasuj numery algorytmu i typu digestu do tego, co raportuje Twój host DNS — nie zgaduj.
• Wyłącz DNSSEC przed zmianą nameserverów. Zmiana hostów DNS z wciąż obecnym, nieaktualnym rekordem DS to klasyczny sposób na wyłączenie domeny.
• Daj temu czas. Zmiany mogą się w pełni propagować od kilku minut do jednego dnia.

Sprawdź, czy zadziałało

Gdy DNSSEC jest włączony (i każdy rekord DS jest na miejscu), uruchom darmowy test na tej stronie. Powie Ci prostym językiem, czy DNSSEC jest poprawnie opublikowany i zaufany dla Twojej domeny.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.