Defaults.Exposed › Настройка › DNSSEC

Как настроить DNSSEC в Cloudflare

Включите DNSSEC в Cloudflare и добавьте DS-запись у регистратора, чтобы никто не смог подделать ответы вашего DNS.

Почему это важно для бизнеса

Когда кто-то вводит ваш домен или пишет вам письмо, его компьютер спрашивает у системы DNS правильный адрес. Обычно эти ответы передаются без подписи, а значит злоумышленник, способный их подменить, может незаметно направить ваших посетителей на поддельный сайт или перенаправить вашу почту на свой сервер. Ваши клиенты при этом всё время видят в адресной строке ваш настоящий домен.

DNSSEC (Domain Name System Security Extensions — расширения безопасности DNS) закрывает этот зазор. Он криптографически подписывает ответы вашего DNS, чтобы тот, кто к вам обращается, мог убедиться: ответ действительно пришёл от вас и не был изменён по пути. Проще говоря: это мешает преступникам угнать ваш домен или отравить запросы, направляющие к вам людей. Это бесплатно и одно из самых сильных средств защиты, какие можно включить для фундамента, на котором держится всё остальное.

Как на самом деле работает DNSSEC (чтобы шаги были понятны)

У DNSSEC две части, которые живут в двух местах:

• Ваш хост DNS (Cloudflare) подписывает записи и публикует открытые ключи (запись DNSKEY) плюс небольшой их отпечаток под названием DS-запись (DS, Delegation Signer).
• Ваш регистратор (где вы купили домен и продлеваете его) публикует эту DS-запись выше, в родительскую зону (например, .com).

DS-запись у регистратора — это звено в цепочке доверия. Cloudflare может подписывать сколько угодно, но пока соответствующая DS-запись не размещена у вашего регистратора, у остального интернета нет подписанного способа доверять этим подписям. Поэтому задача состоит из двух шагов: включить DNSSEC в Cloudflare, затем передать DS-запись регистратору.

Реальный риск — действуйте аккуратно

Неправильно настроенный DNSSEC может вывести из строя весь домен. Это происходит двумя путями:

• Публикация у регистратора DS-записи, которая не соответствует тому, чем фактически подписывает ваш хост DNS.
• Перенос DNS на другой хост (или отключение Cloudflare) без предварительного удаления DS-записи у регистратора — старая DS-запись продолжает требовать подписей, которых больше нет, и запросы начинают рушиться.

Ни то ни другое не опасно, если следовать порядку ниже и никогда не удалять DS-запись у регистратора, пока Cloudflare остаётся вашим подписывающим хостом. Если вы когда-нибудь соберётесь уйти от Cloudflare, сначала отключите DNSSEC и удалите DS-запись у регистратора, а уже потом переносите.

Убедитесь, что DNS обслуживает Cloudflare

Это сработает, только если на запросы DNS для вашего домена отвечает Cloudflare. Cloudflare — ваш хост DNS, а не обязательно та компания, у которой вы купили домен. DNS от Cloudflare активен лишь тогда, когда серверы имён (nameservers) домена указывают на серверы имён Cloudflare, показанные в панели управления. Откройте домен в Cloudflare и проверьте страницу Overview, чтобы убедиться, что Cloudflare активен. Если серверы имён указывают в другое место, включайте DNSSEC у того провайдера, который реально обслуживает ваш DNS.

Пошагово в Cloudflare

1. Войдите в Cloudflare и выберите свой домен.
2. В левом меню откройте DNS, затем Settings (в старых панелях раздел DNSSEC показан прямо под DNS).
3. Найдите DNSSEC и нажмите Enable DNSSEC.
4. Cloudflare покажет панель со значениями — главное из них DS-запись. Обычно есть поля Key Tag, Algorithm, Digest Type, Digest, а также готовая однострочная DS-запись. Оставьте эту панель открытой; значения нужно скопировать регистратору.
5. Теперь войдите к своему регистратору (компания, у которой вы продлеваете домен, — это может быть и Cloudflare, и нет).
6. Найдите у регистратора раздел DNSSEC или DS-записей для вашего домена и добавьте новую DS-запись, используя точные значения от Cloudflare:
   • Key Tag — число, показанное Cloudflare.
   • Algorithm — обычно 13 (ECDSA P-256 SHA-256).
   • Digest Type — обычно 2 (SHA-256).
   • Digest — длинная шестнадцатеричная строка, скопированная точь-в-точь.
7. Сохраните у регистратора. Если регистратор позволяет вставить единую строку DS-записи вместо отдельных полей, используйте полную строку DS, показанную Cloudflare.
8. Вернувшись в Cloudflare: как только регистратор примет DS-запись, статус DNSSEC в Cloudflare сменится на active (на подтверждение может уйти некоторое время).

Особенности Cloudflare, где часто ошибаются

• Две системы, а не одна. Само по себе включение DNSSEC в Cloudflare ничего не даёт — DS-запись должна быть ещё и размещена у регистратора. Люди останавливаются после шага 3 и недоумевают, почему статус не становится активным.
• Копируйте дайджест точно. Один неверный или пропущенный символ в Digest означает, что DS-запись у регистратора не совпадёт с подписями Cloudflare, — а это ровно та ошибка конфигурации, что выводит домен из строя. Копируйте и вставляйте, никогда не перепечатывайте.
• Сопоставляйте номера алгоритма и типа дайджеста. Если регистратор запрашивает их по отдельности, используйте значения, показанные Cloudflare, — не угадывайте.
• Если Cloudflare ещё и ваш регистратор, шаг с DS обрабатывается внутри, и отдельной формы регистратора вы можете не увидеть — но прежде чем считать дело завершённым, убедитесь, что DNSSEC показан как активный.
• Никогда не удаляйте DS-запись, пока Cloudflare всё ещё подписывает. А если когда-нибудь будете уводить DNS от Cloudflare, перед переносом отключите DNSSEC и удалите DS-запись у регистратора.
• Дайте время. Изменения DNSSEC распространяются и становятся активными от нескольких минут до суток.

Проверьте результат

После того как DNSSEC показан в Cloudflare как активный, а DS-запись размещена у регистратора, запустите бесплатную проверку на этом сайте. Она простыми словами скажет, корректно ли опубликован DNSSEC и доверяют ли ему для вашего домена.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.