Defaults.Exposed › Nastavitev › DNSSEC

Kako nastaviti DNSSEC na Cloudflare

Vklopite DNSSEC v Cloudflare in dodajte zapis DS pri registrarju, da nihče ne more ponarejati vaših odgovorov DNS.

Zakaj je to pomembno za vaše podjetje

Ko nekdo vtipka vašo domeno ali vam pošlje e-pošto, njegov računalnik vpraša sistem DNS za pravi naslov. Ti odgovori ponavadi potujejo brez podpisa, kar pomeni, da jih napadalec, ki jih lahko prestrezne, tiho preusmeri vaše obiskovalce na lažno spletišče ali preusmeri vašo e-pošto na lasten strežnik. Vaše stranke ves čas vidijo vašo pravo domeno v naslovni vrstici.

DNSSEC ta vrzel zapre. Kriptografsko podpiše vaše odgovore DNS, tako da si oseba, ki vas poišče, lahko dokaže, da je odgovor res prišel od vas in ni bil spremenjen po poti. Povedano preprosteje: prepreči kriminalcem ugrabitev vaše domene ali zastrupitev poizvedb, ki ljudi usmerjajo k vam. Brezplačno je in je ena najmočnejših zaščit, ki jo lahko vklopite za temelje, na katerih sloni vse ostalo.

Kako DNSSEC dejansko deluje (da bodo koraki razumljivi)

DNSSEC ima dve polovici, ki živita na dveh mestih:

• Vaš gostitelj DNS (Cloudflare) podpiše vaše zapise in objavi javne ključe (DNSKEY) ter majhen prstni odtis le-teh, imenovan zapis DS.
• Vaš registrar (kjer ste kupili in obnavljate domeno) objavi ta zapis DS v nadrejeno cono (na primer .com).

Zapis DS pri registrarju je člen v verigi zaupanja. Cloudflare lahko podpisuje ves dan, toda dokler ujemajoči zapis DS ni vložen pri vašem registrarju, širši internet nima podpisanega načina zaupati tem podpisom. Naloga sta torej dva koraka: vklopite v Cloudflare, nato predajte zapis DS registrarju.

Resnično tveganje — naredite to previdno

DNSSEC lahko vašo celotno domeno postavi offline, če je storjen napačno. To se zgodi na dva načina:

• Objava zapisa DS pri registrarju, ki se ne ujema s tem, kar vaš gostitelj DNS dejansko podpisuje.
• Premik DNS-a na drugega gostitelja (ali izklop Cloudflare) brez predhodne odstranitve zapisa DS pri registrarju — stari zapis DS še naprej zahteva podpise, ki ne obstajajo več, in poizvedbe začnejo spodletevati.

Nobeno od tega ni nevarno, če sledite spodnjemu postopku po vrstnem redu in nikoli ne izbrišete zapisa DS pri registrarju, medtem ko je Cloudflare še vedno vaš gostitelj podpisov. Če nameravate kadarkoli zapustiti Cloudflare, najprej onemogočite DNSSEC in odstranite zapis DS pri registrarju, nato pa se preselite.

Potrdite, da Cloudflare upravlja vaš DNS

To deluje le, če Cloudflare odgovarja na poizvedbe DNS za vašo domeno. Cloudflare je vaš gostitelj DNS, ne nujno podjetje, pri katerem ste kupili domeno. Cloudflareov DNS je aktiven le, ko imenski strežniki vaše domene kažejo na imenskie strežnike Cloudflare, prikazane v nadzorni plošči. Odprite svojo domeno v Cloudflare in na strani Overview potrdite, da je Cloudflare aktiven. Če imenski strežniki kažejo drugam, omogočite DNSSEC pri tistem ponudniku, ki upravlja vaš DNS.

Korak za korakom na Cloudflare

1. Prijavite se v Cloudflare in izberite svojo domeno.
2. V levem meniju pojdite na DNS, nato Settings (starejše nadzorne plošče prikazujejo razdelek DNSSEC neposredno pod DNS).
3. Poiščite DNSSEC in kliknite Enable DNSSEC.
4. Cloudflare prikaže ploščo vrednosti — najpomembnejša je DS record. Ponavadi vidite polja, kot so Key Tag, Algorithm, Digest Type, Digest in že pripravljen enolični DS record. Pustite to ploščo odprto; vrednosti morate kopirati k registrarju.
5. Zdaj se prijavite pri svojem registrarju (podjetju, pri katerem obnavljate domeno — to je lahko Cloudflare ali pa ne).
6. Poiščite razdelek DNSSEC ali DS record za vašo domeno pri registrarju in dodajte nov zapis DS z natančnimi vrednostmi, ki vam jih je dal Cloudflare:
   • Key Tag — številka, ki jo prikazuje Cloudflare.
   • Algorithm — ponavadi 13 (ECDSA P-256 SHA-256).
   • Digest Type — ponavadi 2 (SHA-256).
   • Digest — dolg šestnajstiški niz, kopiran natančno.
7. Shranite pri registrarju. Če vaš registrar dovoli, da prilepite en združeni niz DS zapisa namesto ločenih polj, uporabite celotno vrstico DS, ki jo prikaže Cloudflare.
8. Nazaj v Cloudflare bo status DNSSEC, ko registrar sprejme zapis DS, prešel na active (to lahko traja nekaj časa za potrditev).

Pogoste napake na Cloudflare

• Dva sistema, ne eden. Samo omogočanje DNSSEC v Cloudflare samo po sebi ne naredi ničesar — zapis DS mora biti vložen tudi pri vašem registrarju. Mnogi se ustavijo po 3. koraku in se sprašujejo, zakaj nikoli ne postane aktiven.
• Kopirajte digest natančno. En napačen ali manjkajoč znak v Digest pomeni, da se zapis DS registrarja ne bo ujemala s Cloudflareovimi podpisi — to je natanko tista napačna konfiguracija, ki domeno postavi offline. Kopirajte in prilepite; nikoli ne vpisujte ročno.
• Ujemajte številke algoritma in vrste digesta. Če vaš registrar te vrednosti zahteva ločeno, uporabite vrednosti, ki jih prikaže Cloudflare — ne ugibajte.
• Če je Cloudflare tudi vaš registrar, se korak DS obravnava interno in morda ne boste videli ločenega obrazca registrarja — toda preverite, da DNSSEC kaže kot aktiven, preden predpostavite, da je končano.
• Nikoli ne odstranite zapisa DS, medtem ko Cloudflare še vedno podpisuje. In če kadarkoli migrirate DNS stran od Cloudflare, pred selitvijo onemogočite DNSSEC in očistite zapis DS pri registrarju.
• Dajte mu čas. Spremembe DNSSEC lahko trajajo od nekaj minut do dneva, da se popolnoma razširijo in pokažejo kot aktivne.

Preverite, ali je delovalo

Ko DNSSEC kaže kot aktiven v Cloudflare in je zapis DS na mestu pri vašem registrarju, zaženite brezplačno preverjanje na tem spletnem mestu. Povedalo vam bo v razumljivem jeziku, ali je DNSSEC pravilno objavljen in zaupan za vašo domeno.

Končano? Preverite svojo domeno brezplačno da potrdite, da je delovalo — in si oglejte vašo celotno oceno po vseh 34 preverjanjih.