Defaults.Exposed › Nastavenie › DNSSEC

Ako nastaviť DNSSEC na GoDaddy

Zapnite DNSSEC na GoDaddy jedným prepínačom, aby nikto nemohol falšovať vaše DNS odpovede a uniesť vašu doménu.

Prečo je to dôležité pre vaše podnikanie

Keď niekto navštívi vašu webstránku alebo vám pošle e-mail, jeho počítač sa najprv opýta DNS systému na správnu adresu. Tieto odpovede zvyčajne cestujú nepodpísané, takže útočník, ktorý dokáže zasahovať do vyhľadávania, môže ticho poslať vašich návštevníkov na falošnú stránku alebo odkloniť váš e-mail na vlastný server — pričom vaša skutočná doména stále zostáva zobrazená v adresnom riadku.

DNSSEC tomu zabraňuje. Kryptograficky podpisuje vaše DNS odpovede, takže ktokoľvek, kto vás vyhľadáva, môže dokázať, že odpoveď skutočne prišla od vás a nebola cestou zmenená. V praxi: blokuje únos domény a otravovanie cache, útoky, ktoré obracajú vašu vlastnú doménu proti vašim zákazníkom. Je zadarmo a na GoDaddy je to zvyčajne jediný prepínač.

Ako DNSSEC funguje (a prečo je GoDaddy jednoduchý)

DNSSEC má dve polovice: DNS hostiteľ podpisuje vaše záznamy a zverejňuje kľúče (DNSKEY) plus malý odtlačok nazývaný DS záznam, a registrátor uloží tento DS záznam do nadradenej zóny, aby mu zvyšok internetu mohol dôverovať.

Keď je GoDaddy zároveň vašim registrátorom aj DNS hostiteľom — čo je prípad väčšiny GoDaddy domén s GoDaddy nameservermi — GoDaddy urobí obe polovice za vás. Prehodíte jeden prepínač; GoDaddy vygeneruje kľúče a uloží DS záznam do reťazca automaticky. Nie je potrebné kopírovať hodnoty medzi systémami.

Skutočné riziko — kedy to nie je také jednoduché

DNSSEC môže odstaviť vašu doménu, ak je nakonfigurovaná nesprávne. Nebezpečenstvo vzniká hlavne vtedy, keď sú registrátor a DNS hostiteľ rôzne spoločnosti, alebo keď meníte DNS hostiteľa:

• Ak je vaša doména registrovaná na GoDaddy, ale DNS je hostovaný inde, jednoduchý prepínač GoDaddy to celé neurobí — musíte aktivovať podpisovanie u vášho skutočného DNS hostiteľa a pridať DS záznam do GoDaddy ručne.
• Ak niekedy presuniete váš DNS od GoDaddy, najprv vypnite DNSSEC. Zvyšok DS záznamu, ktorý už nezodpovedá žiadnemu aktívnemu podpisujúcemu hostiteľovi, spôsobí zlyhanie vyhľadávaní a doména stmavne.

Ak je GoDaddy zároveň registrátorom aj DNS hostiteľom, jednoklikový postup nižšie je bezpečný.

Overte, že GoDaddy spravuje váš DNS

Toto je dôležité len vtedy, ak GoDaddy skutočne odpovedá na DNS dotazy pre vašu doménu. Skontrolujte, že vaša doména používa GoDaddy nameservery: v účte GoDaddy otvorte doménu a pozrite sa na nastavenie Nameservers. Ak zobrazuje vlastné nameservery GoDaddy, jednoduchý prepínač je správna cesta. Ak nameservery ukazujú na iného poskytovateľa (napríklad samostatného DNS hostiteľa), aktivujte DNSSEC u toho poskytovateľa, potom pridajte DS záznam, ktorý vám dá, do GoDaddy.

Postup na GoDaddy (jedným klikom, GoDaddy je registrátor aj DNS hostiteľ)

1. Prihláste sa do GoDaddy.
2. Prejdite na My Products (alebo Domain Portfolio).
3. Nájdite svoju doménu a otvorte jej správu — kliknite na názov domény alebo na menu s tromi bodkami a zvoľte Manage DNS / Domain Settings.
4. Posuňte sa na sekciu Additional Settings (v niektorých účtoch sa zobrazuje pod DNS Management).
5. Nájdite DNSSEC a kliknite na Manage alebo na prepínač.
6. Prepnite DNSSEC na on.
7. Potvrďte. GoDaddy vygeneruje kľúče, podpíše vašu zónu a zverejní DS záznam do reťazca za vás — nie je potrebné nič kopírovať inam.

Postup, keď je váš DNS hostovaný inde

Ak je GoDaddy iba váš registrátor a DNS hostuje iná spoločnosť:

1. Najprv aktivujte DNSSEC u vášho DNS hostiteľa a skopírujte DS záznam, ktorý vytvorí (budete potrebovať Key Tag, Algorithm, Digest Type a Digest).
2. V GoDaddy otvorte doménu a nájdite sekciu DNSSEC pod Additional Settings.
3. Zvoľte add DS záznam a zadajte hodnoty od vášho DNS hostiteľa presne.
4. Uložte. DS záznam je teraz uložený v nadradenej zóne, čím sa reťazec uzatvára.

Čo ľudia na GoDaddy robia zle

• Najprv skontrolujte, kto hostuje váš DNS. Jednoduchý jednoklikový prepínač urobí celú prácu len vtedy, keď je GoDaddy zároveň registrátorom aj DNS hostiteľom. Ak DNS žije inde, prepínač sám nestačí.
• Nezapínajte na dvoch miestach. Ak váš DNS hostiteľ už podpisuje zónu, vy len pridáte jeho DS záznam do GoDaddy — nezapínate zároveň vlastné podpisovanie GoDaddy, inak budete mať dve konkurenčné nastavenia.
• Kopírujte DS hodnoty presne pri ručnom zadávaní. Jediný nesprávny znak v Digest preruší reťazec a môže odstaviť doménu.
• Pred presunom DNS vypnite DNSSEC. Migrácia na nového DNS hostiteľa so starým DS záznamom ešte stále na mieste je klasický spôsob, ako odstaviť doménu.
• Počkajte chvíľu. Zmeny môžu trvať niekoľko minút až deň, kým sa plne propagujú.

Overte, že to funguje

Keď je DNSSEC zapnutý (a prípadný DS záznam je zavedený), spustite bezplatnú kontrolu na tejto stránke. Povie vám zrozumiteľne, či je DNSSEC správne zverejnený a dôveryhodný pre vašu doménu.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.