Defaults.Exposed › Nastavenie › DNSSEC

Ako nastaviť DNSSEC na Namecheap

Aktivujte DNSSEC na Namecheap, aby nikto nemohol falšovať vaše DNS odpovede a presmerovať vašich návštevníkov alebo e-mail.

Prečo je to dôležité pre vaše podnikanie

Vždy, keď niekto otvára vašu webstránku alebo vám píše e-mail, jeho počítač sa opýta DNS systému, kde vás nájde. Tieto odpovede zvyčajne cestujú nepodpísané, takže útočník, ktorý dokáže zasahovať do vyhľadávania, môže ticho poslať vašich návštevníkov na falošnú stránku alebo odkloniť váš e-mail na vlastný server — pričom vaša skutočná doména stále zostáva zobrazená v adresnom riadku.

DNSSEC tieto dvere zatvára. Kryptograficky podpisuje vaše DNS odpovede, takže ktokoľvek, kto vás vyhľadáva, môže potvrdiť, že odpoveď skutočne prišla od vás a nebola cestou zmenená. V praxi: zabraňuje úniku domény a otravovaniu cache, útokom, ktoré obracajú vašu vlastnú doménu proti vašim zákazníkom. Je zadarmo a keď Namecheap spravuje váš DNS, je to takmer na jedno kliknutie.

Ako DNSSEC funguje (a prečo môže byť Namecheap jednoduchý)

DNSSEC má dve polovice: DNS hostiteľ podpisuje vaše záznamy a zverejňuje kľúče (DNSKEY) plus malý odtlačok nazývaný DS záznam, a registrátor uloží tento DS záznam do nadradenej zóny, aby mu zvyšok internetu dôveroval.

Keď je Namecheap zároveň vašim registrátorom aj DNS hostiteľom — to jest vaša doména používa Namecheap BasicDNS / PremiumDNS — Namecheap zvládne obe polovice jedným prepínačom. Podpíše zónu a zverejní DS záznam do reťazca za vás. Keď je váš DNS hostovaný inde, namiesto toho skopírujete DS záznam od toho hostiteľa ručne do Namecheap.

Skutočné riziko — postupujte v poradí

DNSSEC môže odstaviť vašu doménu, ak je nastavená nesprávne. Dve cesty, ktorými k tomu dôjde:

• DS záznam uložený u registrátora, ktorý nezodpovedá tomu, čím DNS hostiteľ skutočne podpisuje.
• Presun DNS na iného hostiteľa (alebo vypnutie podpisovania) bez predchádzajúceho odstránenia DS záznamu — starý DS záznam naďalej vyžaduje podpisy, ktoré už neexistujú, a vyhľadávania zlyhávajú.

Takže: ak niekedy presuniete DNS od Namecheap, alebo preč z Namecheap nameserverov, najprv vypnite DNSSEC a vymažte DS záznam, potom presúvajte. Dodržte postup nižšie v poradí a budete v bezpečí.

Overte, že Namecheap spravuje váš DNS

Skontrolujte, čo odpovedá na DNS dotazy pre vašu doménu. V účte Namecheap otvorte doménu a pozrite na nastavenie Nameservers na karte Domain:

• Ak je nastavené na Namecheap BasicDNS alebo Namecheap Web Hosting DNS / PremiumDNS, Namecheap hostuje váš DNS — použite jednoklikový postup.
• Ak zobrazuje Custom DNS ukazujúci na iného poskytovateľa, ten poskytovateľ hostuje váš DNS — najprv aktivujte DNSSEC tam, potom pridajte DS záznam, ktorý vám dá, do Namecheap.

Postup na Namecheap (Namecheap je registrátor aj DNS hostiteľ)

1. Prihláste sa do Namecheap.
2. Prejdite na Domain List a kliknite na Manage vedľa vašej domény.
3. Otvorte kartu Advanced DNS.
4. Posuňte sa na sekciu DNSSEC.
5. Prepnite DNSSEC na on.
6. Potvrďte. S vlastným DNS Namecheap, Namecheap podpíše zónu a zverejní DS záznam do reťazca za vás — nie je potrebné nič kopírovať inam.

Postup, keď je váš DNS hostovaný inde

Ak je Namecheap vašim registrátorom, ale DNS hostuje iná spoločnosť:

1. Najprv aktivujte DNSSEC u vášho DNS hostiteľa a skopírujte hodnoty DS záznamu, ktoré vytvorí — zvyčajne Key Tag, Algorithm, Digest Type a Digest.
2. V Namecheap otvorte doménu a prejdite na kartu Advanced DNS, potom sekciu DNSSEC.
3. Pridajte DS záznam a zadajte hodnoty od vášho DNS hostiteľa presne do zodpovedajúcich polí.
4. Uložte. DS záznam je teraz uložený v nadradenej zóne, čím sa reťazec dôvery uzatvára.

Čo ľudia na Namecheap robia zle

• Prepínač urobí všetko len vtedy, keď Namecheap tiež hostuje váš DNS. Na Custom DNS samotné prehodenie nestačí — musíte vložiť DS záznam od vášho skutočného DNS hostiteľa.
• Nepodpisujte dvakrát. Ak váš externý DNS hostiteľ už podpisuje zónu, vy len zadáte jeho DS záznam do Namecheap — nezapínate zároveň vlastné podpisovanie Namecheap.
• Kopírujte DS hodnoty znak za znakom. Jediná nesprávna číslica v Digest znamená, že DS nezodpovedá podpisom — presne to odstavuje doménu. Vkladajte, nikdy neprepísujte.
• Zhodujte čísla algoritmu a digest-type s tým, čo uvádza váš DNS hostiteľ — neuhádajte.
• Pred zmenou nameserverov vypnite DNSSEC. Zmena DNS hostiteľov so starým DS záznamom ešte stále na mieste je klasický spôsob, ako odstaviť doménu.
• Počkajte chvíľu. Zmeny môžu trvať niekoľko minút až deň, kým sa plne propagujú.

Overte, že to funguje

Keď je DNSSEC zapnutý (a prípadný DS záznam je zavedený), spustite bezplatnú kontrolu na tejto stránke. Povie vám zrozumiteľne, či je DNSSEC správne zverejnený a dôveryhodný pre vašu doménu.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.