Defaults.Exposed › Настройка › DNSSEC

Как настроить DNSSEC в GoDaddy

Включите DNSSEC в GoDaddy одним переключателем, чтобы никто не смог подделать ответы вашего DNS и угнать домен.

Почему это важно для бизнеса

Когда кто-то заходит на ваш сайт или пишет вам письмо, его компьютер сначала спрашивает у системы DNS правильный адрес. Обычно эти ответы передаются без подписи, поэтому злоумышленник, способный вмешаться в запрос, может незаметно отправить ваших посетителей на поддельный сайт или перенаправить вашу почту на свой сервер — а в адресной строке всё это время будет ваш настоящий домен.

DNSSEC (Domain Name System Security Extensions — расширения безопасности DNS) это пресекает. Он криптографически подписывает ответы вашего DNS, чтобы любой, кто к вам обращается, мог убедиться: ответ действительно пришёл от вас и не был изменён по пути. Проще говоря: это блокирует угон домена и отравление кэша — атаки, обращающие ваш собственный домен против ваших клиентов. Это бесплатно, и в GoDaddy обычно сводится к одному переключателю.

Как работает DNSSEC (и почему в GoDaddy это просто)

У DNSSEC две части: хост DNS подписывает ваши записи и публикует ключи (запись DNSKEY) плюс небольшой отпечаток под названием DS-запись (DS, Delegation Signer), а регистратор размещает эту DS-запись в родительской зоне, чтобы остальной интернет мог доверять подписям.

Когда GoDaddy одновременно и ваш регистратор, и ваш хост DNS — а так и есть для большинства доменов GoDaddy, использующих серверы имён GoDaddy, — GoDaddy выполняет обе части за вас. Вы щёлкаете одним переключателем; GoDaddy генерирует ключи и автоматически размещает DS-запись выше по цепочке. Ничего копировать между системами не нужно.

Реальный риск — когда всё не так просто

Неправильно настроенный DNSSEC может вывести домен из строя. Опасность возникает прежде всего тогда, когда регистратор и хост DNS — разные компании, или когда вы меняете хост DNS:

• Если домен зарегистрирован в GoDaddy, а DNS размещён в другом месте, переключатель «в один клик» от GoDaddy не подойдёт — нужно включить подписывание у вашего реального хоста DNS и вручную добавить DS-запись в GoDaddy.
• Если вы переносите DNS из GoDaddy, сначала выключите DNSSEC. Оставшаяся DS-запись, которая больше не соответствует ни одному активному подписывающему хосту, приведёт к сбою запросов, и домен «погаснет».

Если GoDaddy одновременно и регистратор, и хост DNS, описанный ниже процесс «в один клик» безопасен.

Убедитесь, что DNS обслуживает GoDaddy

Это важно, только если на запросы DNS для вашего домена реально отвечает GoDaddy. Проверьте, что домен использует серверы имён GoDaddy: в аккаунте GoDaddy откройте домен и посмотрите настройку Nameservers. Если там собственные серверы имён GoDaddy, переключатель «в один клик» — верный путь. Если серверы имён указывают на другого провайдера (например, на отдельный хост DNS), включайте DNSSEC у того провайдера, а затем добавьте полученную DS-запись в GoDaddy.

Пошагово в GoDaddy (в один клик; GoDaddy — регистратор и хост DNS)

1. Войдите в аккаунт GoDaddy.
2. Перейдите в My Products (или Domain Portfolio).
3. Найдите домен и откройте страницу управления — нажмите на имя домена или меню с тремя точками и выберите Manage DNS / Domain Settings.
4. Прокрутите до раздела Additional Settings (в некоторых аккаунтах он находится в DNS Management).
5. Найдите DNSSEC и нажмите Manage или переключатель.
6. Включите DNSSEC.
7. Подтвердите. GoDaddy генерирует ключи, подписывает вашу зону и публикует DS-запись выше по цепочке за вас — копировать что-либо в другое место не нужно.

Пошагово, если DNS размещён в другом месте

Если GoDaddy — только ваш регистратор, а DNS обслуживает другая компания:

1. Сначала включите DNSSEC у вашего хоста DNS и скопируйте полученную DS-запись (понадобятся Key Tag, Algorithm, Digest Type и сам Digest).
2. В GoDaddy откройте домен и найдите раздел DNSSEC в Additional Settings.
3. Выберите добавить DS-запись и точно введите значения от вашего хоста DNS.
4. Сохраните. Теперь DS-запись размещена в родительской зоне, и цепочка завершена.

Особенности GoDaddy, где часто ошибаются

• Сначала проверьте, кто обслуживает ваш DNS. Простой переключатель «в один клик» делает всю работу, только когда GoDaddy одновременно регистратор и хост DNS. Если DNS в другом месте, одного переключателя недостаточно.
• Не включайте подписывание в двух местах. Если ваш хост DNS уже подписывает зону, в GoDaddy вы лишь добавляете его DS-запись — не нужно ещё и включать собственный переключатель подписывания GoDaddy, иначе получите две конкурирующие конфигурации.
• Точно копируйте значения DS при ручном вводе. Один неверный символ в Digest разрывает цепочку и может вывести домен из строя.
• Перед переносом DNS выключите DNSSEC. Миграция на новый хост DNS с оставшейся устаревшей DS-записью — классический способ положить домен.
• Дайте время. Изменения распространяются от нескольких минут до суток.

Проверьте результат

После включения DNSSEC (и размещения всех DS-записей) запустите бесплатную проверку на этом сайте. Она простыми словами скажет, корректно ли опубликован DNSSEC и доверяют ли ему для вашего домена.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.