Defaults.Exposed › Configurare › DNSSEC

Cum configurezi DNSSEC pe Cloudflare

Activează DNSSEC în Cloudflare și adaugă recordul DS la registrar-ul tău pentru ca nimeni să nu poată falsifica răspunsurile DNS.

De ce contează asta pentru afacerea ta

Când cineva tastează domeniul tău sau îți trimite un email, calculatorul lor întreabă sistemul DNS care este adresa corectă. De obicei, aceste răspunsuri călătoresc nesemnate, ceea ce înseamnă că un atacator care le poate manipula poate redirecționa liniștit vizitatorii spre un site fals sau redirecționa emailul tău spre serverul lui. Clienții tăi văd domeniul tău real în bara de adrese tot timpul.

DNSSEC închide această vulnerabilitate. Semnează criptografic răspunsurile DNS, astfel încât cel care te caută poate dovedi că răspunsul a venit cu adevărat de la tine și nu a fost modificat pe parcurs. Pe scurt: oprește infractorii să deturneze domeniul tău sau să otrăvească căutările care îi conduc pe oameni la tine. Este gratuit și este una dintre cele mai puternice protecții pe care le poți activa pentru fundația pe care se sprijină totul.

Cum funcționează DNSSEC (ca să ai sens pașii)

DNSSEC are două jumătăți care trăiesc în două locuri:

• Furnizorul tău DNS (Cloudflare) semnează recordurile și publică cheile publice (un DNSKEY) plus o mică amprentă a acestora numită record DS.
• Registrar-ul tău (compania la care reînnoiești domeniul) publică acel record DS în zona părintele (de exemplu .com).

Recordul DS la registrar este veriga lanțului de încredere. Cloudflare poate semna toată ziua, dar până când recordul DS corespunzător nu este depus la registrar-ul tău, internetul larg nu are nicio modalitate semnată de a avea încredere în acele semnături. Deci misiunea are doi pași: activezi în Cloudflare, apoi înmânezi recordul DS registrar-ului tău.

Riscul real — fă asta cu atenție

DNSSEC poate scoate offline tot domeniul tău dacă este făcut greșit. Cele două moduri prin care se întâmplă:

• Publicarea unui record DS la registrar care nu corespunde cu ceea ce semnează furnizorul tău DNS.
• Mutarea DNS-ului la un alt furnizor (sau dezactivarea Cloudflare) fără a elimina mai întâi recordul DS la registrar — vechiul record DS continuă să ceară semnături care nu mai există, iar căutările încep să eșueze.

Niciunul nu este periculos dacă urmezi fluxul de mai jos în ordine și nu ștergi niciodată recordul DS la registrar cât timp Cloudflare este încă furnizorul tău de semnare. Dacă plănuiești să pleci de la Cloudflare, dezactivează DNSSEC și elimină recordul DS la registrar mai întâi, apoi mută.

Confirmă că Cloudflare gestionează DNS-ul tău

Aceasta funcționează doar dacă Cloudflare răspunde pentru domeniul tău. Cloudflare este furnizorul tău DNS, nu neapărat compania de la care ai cumpărat domeniul. DNS-ul Cloudflare este activ doar când nameservere-le domeniului tău indică spre nameserver-ele Cloudflare afișate în dashboard. Deschide domeniul în Cloudflare și verifică pagina Overview pentru a confirma că Cloudflare este activ. Dacă nameserver-ele indică altundeva, activează DNSSEC la furnizorul care gestionează DNS-ul tău.

Pași în Cloudflare

1. Autentifică-te în Cloudflare și selectează domeniul tău.
2. În meniul din stânga, mergi la DNS, apoi Settings (dashboard-urile mai vechi afișează o secțiune DNSSEC direct sub DNS).
3. Găsește DNSSEC și fă clic pe Enable DNSSEC.
4. Cloudflare va afișa un panou cu valori — cel important este recordul DS. Vei vedea de obicei câmpuri precum Key Tag, Algorithm, Digest Type, Digest și un record DS pe o singură linie gata de copiat. Lasă acest panou deschis; trebuie să copiezi aceste valori la registrar-ul tău.
5. Acum autentifică-te la registrar-ul tău (compania la care reînnoiești domeniul — poate fi sau nu Cloudflare).
6. Găsește secțiunea DNSSEC sau record DS pentru domeniu la registrar și adaugă un nou record DS folosind exact valorile pe care le-a dat Cloudflare:
   • Key Tag — numărul afișat de Cloudflare.
   • Algorithm — de obicei 13 (ECDSA P-256 SHA-256).
   • Digest Type — de obicei 2 (SHA-256).
   • Digest — șirul hexazecimal lung, copiat exact.
7. Salvează la registrar. Dacă registrar-ul îți permite să lipești o singură linie DS combinată în loc de câmpuri separate, folosește linia DS completă afișată de Cloudflare.
8. Înapoi în Cloudflare, odată ce registrar-ul a acceptat recordul DS, starea DNSSEC din Cloudflare va trece la active (poate dura puțin timp pentru confirmare).

Greșeli frecvente pe Cloudflare

• Două sisteme, nu unul. Activarea DNSSEC în Cloudflare singur nu face nimic de sine stătător — recordul DS trebuie de asemenea depus la registrar-ul tău. Mulți se opresc după pasul 3 și se întreabă de ce nu devine niciodată activ.
• Copiază digest-ul exact. Un singur caracter greșit sau lipsă în Digest înseamnă că recordul DS al registrar-ului nu va corespunde semnăturilor Cloudflare, ceea ce este exact configurarea greșită care scoate offline un domeniu. Copiază și lipește; nu retastai niciodată.
• Potrivește numerele de algoritm și tip digest. Dacă registrar-ul tău le cere separat, folosește valorile afișate de Cloudflare — nu ghici.
• Dacă Cloudflare este și registrar-ul tău, pasul DS este gestionat intern și este posibil să nu vezi un formular de registrar separat — dar confirmă că DNSSEC apare ca activ înainte de a presupune că este gata.
• Nu șterge niciodată recordul DS cât timp Cloudflare semnează. Și dacă vreodată migrezi DNS-ul de la Cloudflare, dezactivează DNSSEC și șterge recordul DS la registrar înainte de mutare.
• Acordă timp. Modificările DNSSEC pot dura de la câteva minute până la o zi pentru a se propaga complet și a apărea ca active.

Verifică dacă a funcționat

Odată ce DNSSEC apare ca activ în Cloudflare și recordul DS este la locul lui la registrar-ul tău, rulează verificarea gratuită pe acest site. Îți va spune pe înțeles dacă DNSSEC este publicat și de încredere corect pentru domeniul tău.

Gata? Verifică domeniul tău gratuit pentru a confirma că a funcționat — și pentru a vedea nota ta completă la toate cele 34 de verificări.