Defaults.Exposed › Nastavitev › DNSSEC

Kako nastaviti DNSSEC na GoDaddy

Vklopite DNSSEC na GoDaddy z enim stikalom, da nihče ne more ponarejati vaših odgovorov DNS in ugrabiti vaše domene.

Zakaj je to pomembno za vaše podjetje

Ko nekdo obišče vašo spletno stran ali vam pošlje e-pošto, njegov računalnik najprej vpraša sistem DNS za pravi naslov. Ti odgovori ponavadi potujejo brez podpisa, zato napadalec, ki jih lahko prestrezne, tiho pošlje vaše obiskovalce na lažno spletišče ali preusmeri vašo e-pošto na lasten strežnik — medtem ko se vaša prava domena še vedno prikazuje v naslovni vrstici.

DNSSEC to ustavi. Kriptografsko podpiše vaše odgovore DNS, tako da si vsak, ki vas poišče, lahko dokaže, da je odgovor res prišel od vas in ni bil spremenjen med prenosom. Povedano preprosteje: blokira ugrabitev domene in zastrupitev predpomnilnika, napade, ki vaše lastno domeno obrnejo proti vašim strankam. Brezplačno je in na GoDaddy je ponavadi stvar enega stikala.

Kako DNSSEC deluje (in zakaj je GoDaddy enostaven)

DNSSEC ima dve polovici: gostitelj DNS podpiše vaše zapise in objavi ključe (DNSKEY) ter majhen prstni odtis, imenovan zapis DS, registrar pa ta zapis DS vloži v nadrejeno cono, da mu ostali internet zaupa.

Ko je GoDaddy hkrati vaš registrar in gostitelj DNS — kar velja za večino GoDaddy domen z GoDaddy imenskimi strežniki — GoDaddy naredi obe polovici namesto vas. Vklopite eno stikalo; GoDaddy ustvari ključe in samodejno vloži zapis DS po verigi. Ni kopiranja vrednosti med sistemi.

Resnično tveganje — kdaj ni tako preprosto

DNSSEC lahko domeno postavi offline, če je napačno konfiguriran. Nevarnost nastane predvsem, ko sta registrar in gostitelj DNS različni podjetji ali ko menjate gostitelja DNS:

• Če je vaša domena registrirana pri GoDaddy, toda vaš DNS gosti nekdo drug, GoDaddyjevo enkratno stikalo ne naredi vsega — omogočiti morate podpisovanje pri svojem dejanskem gostitelju DNS in ročno dodati zapis DS v GoDaddy.
• Če kadarkoli premaknete DNS stran od GoDaddy, najprej izklopite DNSSEC. Zastareli zapis DS, ki se ne ujema več z nobenim aktivnim gostiteljem podpisov, bo povzročil, da poizvedbe spodletijo in domena ugasne.

Če je GoDaddy hkrati registrar in gostitelj DNS, je spodnji postopek z enim klikom varen.

Potrdite, da GoDaddy upravlja vaš DNS

To je relevantno le, če GoDaddy dejansko odgovarja na poizvedbe DNS za vašo domeno. Preverite, da vaša domena uporablja GoDaddy imenskie strežnike: v računu GoDaddy odprite domeno in poglejte nastavitve Nameservers. Če prikazuje GoDaddyjeve lastne imenskie strežnike, je enkratno stikalo prava pot. Če imenski strežniki kažejo na drugega ponudnika (na primer ločen gostitelj DNS), namesto tega pri tistem ponudniku omogočite DNSSEC, nato pa zapis DS, ki vam ga da, dodajte v GoDaddy.

Korak za korakom na GoDaddy (enkratni klik, GoDaddy je registrar in gostitelj DNS)

1. Prijavite se v račun GoDaddy.
2. Pojdite na My Products (ali Domain Portfolio).
3. Poiščite svojo domeno in odprite stran za upravljanje — kliknite ime domene ali meni s tremi pikami in izberite Manage DNS / Domain Settings.
4. Pomaknite se do razdelka Additional Settings (pri nekaterih računih se prikaže pod DNS Management).
5. Poiščite DNSSEC in kliknite Manage ali stikalo.
6. Preklopite DNSSEC na vklop.
7. Potrdite. GoDaddy ustvari ključe, podpiše vašo cono in samodejno vloži zapis DS po verigi — ni ničesar za kopirati drugam.

Korak za korakom, ko vaš DNS gosti nekdo drug

Če je GoDaddy samo vaš registrar in drugo podjetje gosti vaš DNS:

1. Najprej omogočite DNSSEC pri svojem gostitelju DNS in kopirajte zapis DS, ki ga ustvari (potrebujete Key Tag, Algorithm, Digest Type in Digest).
2. V GoDaddy odprite domeno in poiščite razdelek DNSSEC pod Additional Settings.
3. Izberite dodaj zapis DS in vnesite vrednosti vašega gostitelja DNS natančno.
4. Shranite. Zapis DS je zdaj vložen v nadrejeno cono, ki zaključi verigo.

Pogoste napake na GoDaddy

• Najprej preverite, kdo gosti vaš DNS. Preprosto enkratno stikalo naredi celotno delo le, ko je GoDaddy hkrati registrar in gostitelj DNS. Če DNS živi drugje, stikalo samo ni dovolj.
• Ne vklapljajte na dveh mestih. Če vaš gostitelj DNS že podpisuje cono, pri GoDaddy samo vnesete njegov zapis DS — ne vklapljate tudi GoDaddyjevega lastnega podpisovalnega stikala, sicer boste imeli dve nasprotujoči si nastavitvi.
• Vrednosti DS kopirajte natančno pri ročnem vnosu. En napačen znak v Digest prekine verigo in lahko domeno postavi offline.
• Izklopite DNSSEC pred selitvijo DNS-a. Migracija na novega gostitelja DNS z zastarelim zapisom DS, ki je še vedno na mestu, je klasičen način za izklop domene.
• Dajte mu čas. Spremembe lahko trajajo od minut do dneva, da se popolnoma razširijo.

Preverite, ali je delovalo

Ko je DNSSEC vklopljen (in kateri koli zapis DS je na mestu), zaženite brezplačno preverjanje na tem spletnem mestu. Povedalo vam bo v razumljivem jeziku, ali je DNSSEC pravilno objavljen in zaupan za vašo domeno.

Končano? Preverite svojo domeno brezplačno da potrdite, da je delovalo — in si oglejte vašo celotno oceno po vseh 34 preverjanjih.