Defaults.Exposed › Nastavitev › DNSSEC

Kako nastaviti DNSSEC na Namecheap

Omogočite DNSSEC na Namecheap, da nihče ne more ponarejati vaših odgovorov DNS in preusmeriti vaših obiskovalcev ali e-pošte.

Zakaj je to pomembno za vaše podjetje

Vsakič, ko nekdo odpre vašo spletno stran ali vam piše, njegov računalnik vpraša sistem DNS, kje vas najde. Ti odgovori ponavadi potujejo brez podpisa, zato napadalec, ki jih lahko prestrezne, tiho pošlje vaše obiskovalce na ponarejen spletni strani ali preusmeri vašo e-pošto na lasten strežnik — vse medtem ko se vaša prava domena še vedno prikazuje v naslovni vrstici.

DNSSEC ta vrata zapre. Kriptografsko podpiše vaše odgovore DNS, tako da si vsak, ki vas poišče, lahko potrdi, da je odgovor res prišel od vas in ni bil spremenjen po poti. Povedano preprosteje: prepreči ugrabitev domene in zastrupitev predpomnilnika, napade, ki vaše lastno domeno obrnejo proti vašim strankam. Brezplačno je in ko Namecheap upravlja vaš DNS, je blizu enega klika.

Kako DNSSEC deluje (in zakaj je Namecheap lahko enostaven)

DNSSEC ima dve polovici: gostitelj DNS podpiše vaše zapise in objavi ključe (DNSKEY) ter majhen prstni odtis, imenovan zapis DS, registrar pa ta zapis DS vloži v nadrejeno cono, da mu ostali internet zaupa.

Ko je Namecheap hkrati vaš registrar in gostitelj DNS — to pomeni, da vaša domena uporablja Namecheap BasicDNS / PremiumDNS — Namecheap obravnava obe polovici z enim stikalom. Podpiše cono in samodejno vloži zapis DS po verigi. Ko pa vaš DNS gosti nekdo drug, namesto tega sami kopirate zapis DS od tistega gostitelja v Namecheap.

Resnično tveganje — naredite to po vrstnem redu

DNSSEC lahko domeno postavi offline, če je nastavljen napačno. To se zgodi na dva načina:

• Zapis DS, vložen pri registrarju, ki se ne ujema s tem, kar gostitelj DNS dejansko podpisuje.
• Premik DNS-a na drugega gostitelja (ali izklop podpisovanja) brez predhodne odstranitve zapisa DS — zastareli zapis DS še naprej zahteva podpise, ki ne obstajajo več, in poizvedbe spodletijo.

Torej: če kadarkoli premaknete DNS stran od Namecheap ali z Namecheapovih imenskih strežnikov, najprej onemogočite DNSSEC in počistite zapis DS, nato pa se preselite. Sledite spodnjemu postopku po vrstnem redu in ste varni.

Potrdite, da Namecheap upravlja vaš DNS

Preverite, kaj odgovarja na poizvedbe DNS za vašo domeno. V računu Namecheap odprite domeno in poglejte nastavitve Nameservers na zavihku Domain:

• Če je nastavljeno na Namecheap BasicDNS ali Namecheap Web Hosting DNS / PremiumDNS, Namecheap gosti vaš DNS — uporabite enkratni postopek.
• Če prikazuje Custom DNS, ki kaže na drugega ponudnika, ta ponudnik gosti vaš DNS — najprej tam omogočite DNSSEC, nato pa zapis DS, ki vam ga da, vnesite v Namecheap.

Korak za korakom na Namecheap (Namecheap je registrar in gostitelj DNS)

1. Prijavite se v Namecheap.
2. Pojdite na Domain List in kliknite Manage poleg svoje domene.
3. Odprite zavihek Advanced DNS.
4. Pomaknite se do razdelka DNSSEC.
5. Preklopite DNSSEC na vklop.
6. Potrdite. Z Namecheapovim lastnim DNS-om Namecheap podpiše cono in samodejno vloži zapis DS po verigi — ni ničesar za kopirati drugam.

Korak za korakom, ko vaš DNS gosti nekdo drug

Če je Namecheap vaš registrar, toda drugo podjetje gosti vaš DNS:

1. Najprej omogočite DNSSEC pri svojem gostitelju DNS in kopirajte vrednosti zapisa DS, ki jih ustvari — ponavadi Key Tag, Algorithm, Digest Type in Digest.
2. V Namecheap odprite domeno in pojdite na zavihek Advanced DNS, nato razdelek DNSSEC.
3. Dodajte zapis DS in vrednosti vašega gostitelja DNS natančno vnesite v ustrezna polja.
4. Shranite. Zapis DS je zdaj vložen v nadrejeno cono, ki zaključi verigo zaupanja.

Pogoste napake na Namecheap

• Stikalo naredi vse samo, ko Namecheap gosti tudi vaš DNS. Na Custom DNS samo stikalo ni dovolj — morate prilepiti zapis DS od svojega dejanskega gostitelja DNS.
• Ne podpisujte dvakrat. Če vaš zunanji gostitelj DNS že podpisuje cono, pri Namecheap samo vnesete njegov zapis DS — ne omogočate tudi Namecheapovega lastnega podpisovanja.
• Vrednosti DS kopirajte znak za znakom. En napačen znak v Digest pomeni, da se zapis DS ne bo ujemala s podpisi — kar je natanko tisto, kar domeno postavi offline. Prilepite, nikoli ne vpisujte ročno.
• Ujemajte številke algoritma in vrste digesta glede na to, kar poroča vaš gostitelj DNS — ne ugibajte.
• Onemogočite DNSSEC pred menjavo imenskih strežnikov. Zamenjava gostitelja DNS z zastarelim zapisom DS, ki je še vedno na mestu, je klasičen način za izklop domene.
• Dajte mu čas. Spremembe lahko trajajo od minut do dneva, da se popolnoma razširijo.

Preverite, ali je delovalo

Ko je DNSSEC vklopljen (in kateri koli zapis DS je na mestu), zaženite brezplačno preverjanje na tem spletnem mestu. Povedalo vam bo v razumljivem jeziku, ali je DNSSEC pravilno objavljen in zaupan za vašo domeno.

Končano? Preverite svojo domeno brezplačno da potrdite, da je delovalo — in si oglejte vašo celotno oceno po vseh 34 preverjanjih.