Defaults.Exposed › Настройка › DNSSEC

Как настроить DNSSEC в Namecheap

Включите DNSSEC в Namecheap, чтобы никто не смог подделать ответы вашего DNS и перенаправить ваших посетителей или почту.

Почему это важно для бизнеса

Каждый раз, когда кто-то открывает ваш сайт или пишет вам, его компьютер спрашивает у системы DNS, где вас найти. Обычно эти ответы передаются без подписи, поэтому злоумышленник, способный вмешаться в запрос, может незаметно отправить ваших посетителей на поддельный сайт или перенаправить вашу почту на свой сервер — а в адресной строке всё это время будет ваш настоящий домен.

DNSSEC (Domain Name System Security Extensions — расширения безопасности DNS) закрывает эту дверь. Он криптографически подписывает ответы вашего DNS, чтобы любой, кто к вам обращается, мог подтвердить: ответ действительно пришёл от вас и не был подменён по пути. Проще говоря: это предотвращает угон домена и отравление кэша — атаки, обращающие ваш собственный домен против ваших клиентов. Это бесплатно, и когда DNS обслуживает Namecheap, это почти один клик.

Как работает DNSSEC (и почему в Namecheap может быть просто)

У DNSSEC две части: хост DNS подписывает ваши записи и публикует ключи (запись DNSKEY) плюс небольшой отпечаток под названием DS-запись (DS, Delegation Signer), а регистратор размещает эту DS-запись в родительской зоне, чтобы остальной интернет доверял подписям.

Когда Namecheap одновременно и ваш регистратор, и ваш хост DNS — то есть домен использует Namecheap BasicDNS / PremiumDNS — Namecheap берёт на себя обе части одним переключателем. Он подписывает зону и публикует DS-запись выше по цепочке за вас. Если DNS размещён в другом месте, вы вместо этого вручную копируете DS-запись от того хоста в Namecheap.

Реальный риск — делайте по порядку

Неправильно настроенный DNSSEC может вывести домен из строя. Это происходит двумя путями:

• DS-запись, размещённая у регистратора, не соответствует тому, чем фактически подписывает хост DNS.
• Перенос DNS на другой хост (или отключение подписывания) без предварительного удаления DS-записи — устаревшая DS-запись продолжает требовать подписей, которых больше нет, и запросы рушатся.

Поэтому: если вы переносите DNS из Namecheap или с серверов имён Namecheap, сначала отключите DNSSEC и удалите DS-запись, а уже потом переносите. Следуйте порядку ниже — и вы в безопасности.

Убедитесь, что DNS обслуживает Namecheap

Проверьте, что отвечает на запросы DNS для вашего домена. В аккаунте Namecheap откройте домен и посмотрите настройку Nameservers на вкладке Domain:

• Если выбрано Namecheap BasicDNS или Namecheap Web Hosting DNS / PremiumDNS, ваш DNS обслуживает Namecheap — используйте процесс «в один клик».
• Если показано Custom DNS с указанием на другого провайдера, ваш DNS обслуживает он — сначала включите DNSSEC там, затем добавьте полученную DS-запись в Namecheap.

Пошагово в Namecheap (Namecheap — регистратор и хост DNS)

1. Войдите в Namecheap.
2. Перейдите в Domain List и нажмите Manage рядом с вашим доменом.
3. Откройте вкладку Advanced DNS.
4. Прокрутите до раздела DNSSEC.
5. Включите DNSSEC.
6. Подтвердите. С собственным DNS от Namecheap он подписывает зону и публикует DS-запись выше по цепочке за вас — копировать что-либо в другое место не нужно.

Пошагово, если DNS размещён в другом месте

Если Namecheap — ваш регистратор, но DNS обслуживает другая компания:

1. Сначала включите DNSSEC у вашего хоста DNS и скопируйте значения полученной DS-записи — обычно Key Tag, Algorithm, Digest Type и сам Digest.
2. В Namecheap откройте домен, перейдите на вкладку Advanced DNS, затем в раздел DNSSEC.
3. Добавьте DS-запись и точно введите значения от вашего хоста DNS в соответствующие поля.
4. Сохраните. Теперь DS-запись размещена в родительской зоне, завершая цепочку доверия.

Особенности Namecheap, где часто ошибаются

• Переключатель делает всё, только когда Namecheap ещё и обслуживает ваш DNS. При Custom DNS одного переключения недостаточно — нужно вставить DS-запись от вашего реального хоста DNS.
• Не подписывайте дважды. Если ваш внешний хост DNS уже подписывает зону, в Namecheap вы лишь вводите его DS-запись — не включайте при этом собственное подписывание Namecheap.
• Копируйте значения DS символ в символ. Одна неверная цифра в Digest означает, что DS не совпадёт с подписями, — а это ровно то, что выводит домен из строя. Вставляйте, не перепечатывайте.
• Сопоставляйте номера алгоритма и типа дайджеста с тем, что сообщает ваш хост DNS, — не угадывайте.
• Перед сменой серверов имён отключите DNSSEC. Смена хоста DNS с оставшейся устаревшей DS-записью — классический способ положить домен.
• Дайте время. Изменения распространяются от нескольких минут до суток.

Проверьте результат

После включения DNSSEC (и размещения всех DS-записей) запустите бесплатную проверку на этом сайте. Она простыми словами скажет, корректно ли опубликован DNSSEC и доверяют ли ему для вашего домена.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.