Defaults.Exposed › Nastavenie › DNSSEC

Ako nastaviť DNSSEC na Cloudflare

Zapnite DNSSEC v Cloudflare a pridajte DS záznam u vášho registrátora, aby nikto nemohol falšovať vaše DNS odpovede.

Prečo je to dôležité pre vaše podnikanie

Keď niekto zadá vašu doménu alebo vám pošle e-mail, jeho počítač sa opýta DNS systému na správnu adresu. Tieto odpovede zvyčajne cestujú nepodpísané, čo znamená, že útočník, ktorý ich dokáže pozmeniť, môže ticho presmerovať vašich návštevníkov na falošnú webstránku alebo odkloniť váš e-mail na vlastný server. Vaši zákazníci pritom celý čas vidia vašu skutočnú doménu v adresnom riadku.

DNSSEC túto medzeru uzatvára. Kryptograficky podpisuje vaše DNS odpovede, takže osoba, ktorá vás vyhľadáva, môže dokázať, že odpoveď skutočne prišla od vás a nebola cestou zmenená. V praxi: zabraňuje únoscovi domény a otravovaniu cache — útokom, ktoré obrátia vašu vlastnú doménu proti vašim zákazníkom. Je zadarmo a je to jedna z najsilnejších ochrán, ktoré môžete zapnúť pre základ, na ktorom stojí všetko ostatné.

Ako DNSSEC skutočne funguje (aby kroky dávali zmysel)

DNSSEC má dve polovice žijúce na dvoch miestach:

• Váš DNS hostiteľ (Cloudflare) podpisuje vaše záznamy a zverejňuje verejné kľúče (DNSKEY) plus malý odtlačok prstov nazývaný DS záznam.
• Váš registrátor (kde ste kúpili a obnovujete doménu) zverejní tento DS záznam do nadradenej zóny (napríklad .com).

DS záznam u registrátora je článok v reťazci dôvery. Cloudflare môže podpisovať celý deň, ale pokiaľ zodpovedajúci DS záznam nie je uložený u vášho registrátora, širší internet nemá podpísaný spôsob, ako týmto podpisom dôverovať. Práca pozostáva z dvoch krokov: zapnúť v Cloudflare, potom odovzdať DS záznam registrátorovi.

Skutočné riziko — postupujte opatrne

DNSSEC môže celú vašu doménu odstaviť, ak je nastavená nesprávne. Dve cesty, ktorými k tomu dôjde:

• Zverejnenie DS záznamu u registrátora, ktorý nezodpovedá tomu, čím váš DNS hostiteľ skutočne podpisuje.
• Presun DNS na iného hostiteľa (alebo vypnutie Cloudflare) bez predchádzajúceho odstránenia DS záznamu u registrátora — starý DS záznam naďalej vyžaduje podpisy, ktoré už neexistujú, a vyhľadávania začnú zlyhávať.

Ani jedno nie je nebezpečné, ak dodržíte postup nižšie v poradí a nikdy nevymažete DS záznam u registrátora, kým je Cloudflare stále vašim podpisujúcim hostiteľom. Ak niekedy plánujete odísť od Cloudflare, najprv vypnite DNSSEC a odstráňte DS záznam u registrátora, potom presúvajte.

Overte, že Cloudflare spravuje váš DNS

Toto funguje len vtedy, ak Cloudflare odpovedá na DNS dotazy pre vašu doménu. Cloudflare je váš DNS hostiteľ, nie nevyhnutne spoločnosť, kde ste doménu kúpili. DNS Cloudflare je aktívny len vtedy, keď nameservery vašej domény ukazujú na Cloudflare nameservery zobrazené v dashboarde. Otvorte svoju doménu v Cloudflare a na stránke Overview skontrolujte, či je Cloudflare aktívny. Ak nameservery ukazujú inde, aktivujte DNSSEC u toho poskytovateľa, ktorý váš DNS skutočne spravuje.

Postup na Cloudflare

1. Prihláste sa do Cloudflare a vyberte svoju doménu.
2. V ľavom menu prejdite na DNS, potom Settings (staršie dashboardy zobrazujú sekciu DNSSEC priamo pod DNS).
3. Nájdite DNSSEC a kliknite na Enable DNSSEC.
4. Cloudflare zobrazí panel hodnôt — dôležitý je DS záznam. Zvyčajne uvidíte polia ako Key Tag, Algorithm, Digest Type, Digest a hotový jednoriadkový DS záznam. Nechajte tento panel otvorený; hodnoty budete kopírovať k vášmu registrátorovi.
5. Prihláste sa k vášmu registrátorovi (spoločnosť, kde obnovujete doménu — môže, ale nemusí byť Cloudflare).
6. Nájdite sekciu DNSSEC alebo DS záznamu pre vašu doménu u registrátora a pridajte nový DS záznam pomocou presných hodnôt, ktoré vám dal Cloudflare:
   • Key Tag — číslo, ktoré Cloudflare zobrazuje.
   • Algorithm — zvyčajne 13 (ECDSA P-256 SHA-256).
   • Digest Type — zvyčajne 2 (SHA-256).
   • Digest — dlhý hexadecimálny reťazec, skopírovaný presne.
7. Uložte u registrátora. Ak vám registrátor umožňuje vložiť jeden kombinovaný riadok DS záznamu namiesto samostatných polí, použite celý DS riadok, ktorý Cloudflare zobrazil.
8. Späť v Cloudflare, keď registrátor prijme DS záznam, stav DNSSEC v Cloudflare sa zmení na active (môže to chvíľu trvať).

Čo ľudia na Cloudflare robia zle

• Dva systémy, nie jeden. Samotné zapnutie DNSSEC v Cloudflare samo o sebe nič neurobí — DS záznam musí byť tiež uložený u vášho registrátora. Ľudia sa zastavia po kroku 3 a čudujú sa, prečo to nikdy nie je aktívne.
• Skopírujte digest presne. Jediný nesprávny alebo chýbajúci znak v Digest znamená, že DS záznam registrátora nezodpovedá podpisom Cloudflare — čo je presne tá nesprávna konfigurácia, ktorá odstaví doménu. Kopírujte a vkladajte; nikdy neprepísujte ručne.
• Zhodujte čísla algoritmu a digest-type. Ak váš registrátor pýta tieto hodnoty samostatne, použite hodnoty, ktoré zobrazuje Cloudflare — neuhádajte.
• Ak je Cloudflare zároveň vašim registrátorom, krok DS sa rieši interne a možno neuvidíte samostatný formulár registrátora — ale potvrďte, že DNSSEC sa zobrazuje ako aktívne, pred tým ako budete predpokladať, že je hotové.
• Nikdy neodstraňujte DS záznam, kým Cloudflare stále podpisuje. A ak niekedy migrujete DNS od Cloudflare, najprv vypnite DNSSEC a vymažte DS záznam u registrátora pred presunom.
• Počkajte chvíľu. Zmeny DNSSEC môžu trvať niekoľko minút až deň, kým sa plne propagujú a zobrazia ako aktívne.

Overte, že to funguje

Keď DNSSEC ukazuje ako aktívne v Cloudflare a DS záznam je zavedený u vášho registrátora, spustite bezplatnú kontrolu na tejto stránke. Povie vám zrozumiteľne, či je DNSSEC správne zverejnený a dôveryhodný pre vašu doménu.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.