Defaults.Exposed › Configuração › DNSSEC

Como configurar o DNSSEC na GoDaddy

Ative o DNSSEC na GoDaddy com um único interruptor para que ninguém possa falsificar as suas respostas de DNS e sequestrar o seu domínio.

Porque é que isto importa para o seu negócio

Quando alguém visita o seu site ou lhe envia um email, o computador pergunta primeiro ao sistema de DNS qual o endereço correto. Essas respostas viajam normalmente sem assinatura, por isso um atacante que consiga adulterar a consulta pode, em silêncio, enviar os seus visitantes para um site falso ou desviar o seu email para o servidor dele — enquanto o seu domínio verdadeiro continua a aparecer na barra de endereços.

O DNSSEC trava isto. Assina criptograficamente as suas respostas de DNS, para que quem o consulta possa provar que a resposta veio mesmo de si e não foi alterada pelo caminho. Em termos simples: bloqueia o sequestro de domínios e o envenenamento de cache, os ataques que viram o seu próprio domínio contra os seus clientes. É gratuito e, na GoDaddy, costuma ser um único interruptor.

Como funciona o DNSSEC (e porque é fácil na GoDaddy)

O DNSSEC tem duas metades: o fornecedor de DNS assina os seus registos e publica as chaves (uma DNSKEY) mais uma pequena impressão digital chamada registo DS (DS, Delegation Signer), e o registador deposita esse registo DS na zona-pai para que o resto da internet possa confiar nas assinaturas.

Quando a GoDaddy é simultaneamente o seu registador e o seu fornecedor de DNS — como acontece na maioria dos domínios GoDaddy que usam servidores de nomes da GoDaddy — a GoDaddy trata das duas metades por si. Liga um interruptor; a GoDaddy gera as chaves e deposita automaticamente o registo DS na cadeia. Sem copiar valores entre sistemas.

O risco real — quando não é assim tão simples

O DNSSEC pode deixar o seu domínio offline se for mal configurado. O perigo surge sobretudo quando o registador e o fornecedor de DNS são empresas diferentes, ou quando muda de fornecedor de DNS:

• Se o seu domínio está registado na GoDaddy mas o seu DNS está alojado noutro sítio, o interruptor de um clique da GoDaddy não se aplica — tem de ativar a assinatura no seu fornecedor de DNS real e adicionar o registo DS na GoDaddy à mão.
• Se algum dia mudar o seu DNS para fora da GoDaddy, desligue primeiro o DNSSEC. Um registo DS residual que já não corresponda a nenhum fornecedor de assinatura ativo fará as consultas falhar e o domínio ficar às escuras.

Se a GoDaddy for simultaneamente o registador e o fornecedor de DNS, o fluxo de um clique abaixo é seguro.

Confirme que é a GoDaddy que gere o seu DNS

Isto só importa se for mesmo a GoDaddy a responder ao DNS do seu domínio. Verifique se o seu domínio usa servidores de nomes da GoDaddy: na sua conta GoDaddy, abra o domínio e veja a definição Nameservers. Se mostrar os servidores de nomes da própria GoDaddy, o interruptor de um clique é o caminho certo. Se os servidores de nomes apontarem para outro fornecedor (por exemplo, um fornecedor de DNS separado), ative o DNSSEC nesse fornecedor e depois adicione na GoDaddy o registo DS que ele lhe der.

Passo a passo na GoDaddy (um clique, GoDaddy é registador e fornecedor de DNS)

1. Inicie sessão na sua conta GoDaddy.
2. Vá a My Products (ou Domain Portfolio).
3. Localize o seu domínio e abra a respetiva página de gestão — clique no nome do domínio ou no menu de três pontos e escolha Manage DNS / Domain Settings.
4. Desça até à secção Additional Settings (em algumas contas aparece em DNS Management).
5. Localize DNSSEC e clique em Manage ou no interruptor.
6. Coloque o DNSSEC em on (ativado).
7. Confirme. A GoDaddy gera as chaves, assina a sua zona e publica o registo DS na cadeia por si — não há nada para copiar para outro lado.

Passo a passo quando o seu DNS está alojado noutro sítio

Se a GoDaddy for apenas o seu registador e outra empresa alojar o seu DNS:

1. Ative primeiro o DNSSEC no seu fornecedor de DNS e copie o registo DS que ele produzir (vai precisar de Key Tag, Algorithm, Digest Type e o Digest).
2. Na GoDaddy, abra o domínio e localize a secção DNSSEC em Additional Settings.
3. Escolha adicionar um registo DS e introduza os valores do seu fornecedor de DNS exatamente como estão.
4. Guarde. O registo DS fica agora depositado na zona-pai, completando a cadeia.

Erros que as pessoas cometem na GoDaddy

• Verifique primeiro quem aloja o seu DNS. O simples interruptor de um clique só faz o trabalho todo quando a GoDaddy é simultaneamente registador e fornecedor de DNS. Se o DNS estiver noutro sítio, o interruptor sozinho não chega.
• Não o ative em dois sítios. Se o seu fornecedor de DNS já assina a zona, basta adicionar o registo DS dele na GoDaddy — não ligue também o interruptor de assinatura da própria GoDaddy, ou ficará com duas configurações em conflito.
• Copie os valores DS exatamente ao introduzi-los à mão. Um único carácter errado no Digest quebra a cadeia e pode deixar o domínio offline.
• Desligue o DNSSEC antes de mudar de DNS. Migrar para um novo fornecedor de DNS com um registo DS obsoleto ainda em vigor é a forma clássica de deitar um domínio abaixo.
• Dê-lhe tempo. As alterações podem demorar de alguns minutos até um dia a propagar-se por completo.

Confirme que funcionou

Depois de o DNSSEC estar ligado (e de qualquer registo DS estar em vigor), execute a verificação gratuita neste site. Vai dizer-lhe em linguagem simples se o DNSSEC está corretamente publicado e validado para o seu domínio.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.