Defaults.Exposed › Configuração › DNSSEC

Como configurar o DNSSEC na Namecheap

Ative o DNSSEC na Namecheap para que ninguém possa falsificar as suas respostas de DNS e redirecionar os seus visitantes ou o seu email.

Porque é que isto importa para o seu negócio

Sempre que alguém abre o seu site ou lhe envia um email, o computador pergunta ao sistema de DNS onde o encontrar. Essas respostas viajam normalmente sem assinatura, por isso um atacante que consiga interferir na consulta pode, em silêncio, enviar os seus visitantes para um site falsificado ou desviar o seu email para o servidor dele — tudo isto enquanto o seu domínio verdadeiro continua a aparecer na barra de endereços.

O DNSSEC fecha essa porta. Assina criptograficamente as suas respostas de DNS, para que quem o consulta possa confirmar que a resposta veio mesmo de si e não foi adulterada pelo caminho. Em termos simples: impede o sequestro de domínios e o envenenamento de cache, os ataques que transformam o seu próprio domínio numa arma contra os seus clientes. É gratuito e, quando é a Namecheap a gerir o seu DNS, está quase a um clique de distância.

Como funciona o DNSSEC (e porque pode ser simples na Namecheap)

O DNSSEC tem duas metades: o fornecedor de DNS assina os seus registos e publica as chaves (uma DNSKEY) mais uma pequena impressão digital chamada registo DS (DS, Delegation Signer), e o registador deposita esse registo DS na zona-pai para que o resto da internet confie nas assinaturas.

Quando a Namecheap é simultaneamente o seu registador e o seu fornecedor de DNS — ou seja, o seu domínio usa o Namecheap BasicDNS / PremiumDNS — a Namecheap trata das duas metades com um único interruptor. Assina a zona e publica o registo DS na cadeia por si. Quando o seu DNS está alojado noutro sítio, copia em vez disso o registo DS desse fornecedor para a Namecheap à mão.

O risco real — faça isto por ordem

O DNSSEC pode deixar o seu domínio offline se for mal configurado. As duas formas de isso acontecer:

• Um registo DS depositado no registador que não corresponde àquilo com que o fornecedor de DNS está efetivamente a assinar.
• Mudar o seu DNS para outro fornecedor (ou desligar a assinatura) sem remover primeiro o registo DS — o registo DS obsoleto continua a exigir assinaturas que já não existem, e as consultas falham.

Por isso: se algum dia mudar o DNS para fora da Namecheap, ou tirá-lo dos servidores de nomes da Namecheap, desligue o DNSSEC e limpe o registo DS primeiro, depois mude. Siga o fluxo abaixo por ordem e está em segurança.

Confirme que é a Namecheap que gere o seu DNS

Verifique o que está a responder ao DNS do seu domínio. Na sua conta Namecheap, abra o domínio e veja a definição Nameservers no separador Domain:

• Se estiver definida como Namecheap BasicDNS ou Namecheap Web Hosting DNS / PremiumDNS, é a Namecheap que aloja o seu DNS — use o fluxo de um clique.
• Se mostrar Custom DNS a apontar para outro fornecedor, é esse fornecedor que aloja o seu DNS — ative aí o DNSSEC primeiro e depois adicione na Namecheap o registo DS que ele lhe der.

Passo a passo na Namecheap (Namecheap é registador e fornecedor de DNS)

1. Inicie sessão na Namecheap.
2. Vá à Domain List e clique em Manage ao lado do seu domínio.
3. Abra o separador Advanced DNS.
4. Desça até à secção DNSSEC.
5. Coloque o DNSSEC em on (ativado).
6. Confirme. Com o DNS da própria Namecheap, a Namecheap assina a zona e publica o registo DS na cadeia por si — não há nada para copiar para outro lado.

Passo a passo quando o seu DNS está alojado noutro sítio

Se a Namecheap for o seu registador mas outra empresa alojar o seu DNS:

1. Ative primeiro o DNSSEC no seu fornecedor de DNS e copie os valores do registo DS que ele produzir — normalmente Key Tag, Algorithm, Digest Type e o Digest.
2. Na Namecheap, abra o domínio e vá ao separador Advanced DNS e depois à secção DNSSEC.
3. Adicione um registo DS e introduza os valores do seu fornecedor de DNS exatamente nos campos correspondentes.
4. Guarde. O registo DS fica agora depositado na zona-pai, completando a cadeia de confiança.

Erros que as pessoas cometem na Namecheap

• O interruptor só faz tudo quando é também a Namecheap a alojar o seu DNS. Em Custom DNS, ligá-lo sozinho não chega — tem de colar o registo DS do seu fornecedor de DNS real.
• Não assine em duplicado. Se o seu fornecedor de DNS externo já assina a zona, basta introduzir o registo DS dele na Namecheap — não ative também a assinatura da própria Namecheap.
• Copie os valores DS carácter a carácter. Um único dígito errado no Digest faz com que o DS não corresponda às assinaturas, que é exatamente o que deixa um domínio offline. Cole, nunca volte a escrever à mão.
• Faça corresponder os números de algoritmo e tipo de digest ao que o seu fornecedor de DNS indicar — não adivinhe.
• Desligue o DNSSEC antes de mudar os servidores de nomes. Trocar de fornecedor de DNS com um registo DS obsoleto ainda em vigor é a forma clássica de deitar um domínio abaixo.
• Dê-lhe tempo. As alterações podem demorar de alguns minutos até um dia a propagar-se por completo.

Confirme que funcionou

Depois de o DNSSEC estar ligado (e de qualquer registo DS estar em vigor), execute a verificação gratuita neste site. Vai dizer-lhe em linguagem simples se o DNSSEC está corretamente publicado e validado para o seu domínio.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.