Defaults.Exposed › Podešavanje › DNSSEC

Kako podesiti DNSSEC na Cloudflare-u

Uključite DNSSEC u Cloudflare-u i dodajte DS zapis kod vašeg registrara kako niko ne bi mogao da falsifikuje vaše DNS odgovore.

Zašto je ovo važno za vaše poslovanje

Kada neko ukuca vaš domen ili vam šalje email, njihov računar pita DNS sistem za pravu adresu. Ti odgovori normalno putuju bez potpisa, što znači da napadač koji može da ih izmeni može tiho preusmeriti vaše posetioce na lažni sajt ili skrenuti vašu poštu na sopstveni server. Vaši klijenti sve vreme vide vaš pravi domen u adresnoj traci.

DNSSEC zatvara tu rupu. Kriptografski potpisuje vaše DNS odgovore, pa osoba koja vas traži može dokazati da je odgovor zaista došao od vas i da nije izmenjen na putu. Jednostavno rečeno: sprečava kriminalce da otmu vaš domen ili trovaju pretrage koje ljude usmeravaju na vas. Besplatan je i jedna je od najjačih zaštita koje možete uključiti za temelj na kome sve ostalo počiva.

Kako DNSSEC zapravo funkcioniše (da bi koraci imali smisla)

DNSSEC ima dva dela koji žive na dva mesta:

• Vaš DNS host (Cloudflare) potpisuje vaše zapise i objavljuje javne ključeve (DNSKEY) plus mali otisak prstiju zvani DS zapis.
• Vaš registrar (gde ste kupili i obnavljate domen) objavljuje taj DS zapis u roditeljsku zonu (na primer .com).

DS zapis kod registrara je karika u lancu poverenja. Cloudflare može potpisivati koliko hoće, ali dok odgovarajući DS zapis nije dodat kod vašeg registrara, širi internet nema potpisani način da veruje tim potpisima. Posao su dakle dva koraka: uključite u Cloudflare-u, pa predajte DS zapis registraru.

Pravi rizik — uradite ovo pažljivo

DNSSEC može da isključi vaš ceo domen ako se uradi pogrešno. Dva načina na koja se to dešava:

• Objavljivanje DS zapisa kod registrara koji ne odgovara onome čime vaš DNS host zapravo potpisuje.
• Prelazak vašeg DNS-a na drugog hosta (ili isključivanje Cloudflare-a) bez prethodnog uklanjanja DS zapisa kod registrara — stari DS zapis nastavlja da zahteva potpise koji više ne postoje, i pretrage počinju da propadaju.

Ni jedno ni drugo nije opasno ako sledite tok ispod po redu i nikada ne brišete DS zapis kod registrara dok je Cloudflare još uvek vaš host za potpisivanje. Ako ikada planirate da napustite Cloudflare, najpre onemogućite DNSSEC i uklonite DS zapis kod registrara, pa tek onda prelazite.

Proverite da li Cloudflare upravlja vašim DNS-om

Ovo funkcioniše samo ako Cloudflare odgovara na DNS upite za vaš domen. Cloudflare je vaš DNS host, ali ne mora biti i kompanija od koje ste kupili domen. Cloudflare-ov DNS je aktivan samo kada name serveri vašeg domena pokazuju na Cloudflare name servere navedene u vašoj kontrolnoj tabli. Otvorite vaš domen u Cloudflare-u i proverite Overview stranicu da potvrdite da je Cloudflare aktivan. Ako vaši name serveri pokazuju negde drugde, uključite DNSSEC kod provajdera koji zapravo upravlja vašim DNS-om.

Korak po korak na Cloudflare-u

1. Prijavite se na Cloudflare i izaberite vaš domen.
2. U levom meniju idite na DNS, pa na Settings (starije kontrolne table prikazuju sekciju DNSSEC direktno pod DNS).
3. Pronađite DNSSEC i kliknite Enable DNSSEC.
4. Cloudflare će prikazati panel vrednosti — najvažniji je DS zapis. Obično ćete videti polja kao što su Key Tag, Algorithm, Digest Type, Digest i gotov jednolinijski DS zapis. Ostavite ovaj panel otvoren; vrednosti treba da kopirate kod registrara.
5. Sada se prijavite na vaš registrar (kompanija kod koje obnavljate domen — može, ali ne mora biti Cloudflare).
6. Pronađite sekciju DNSSEC ili DS zapisa za vaš domen kod registrara i dodajte novi DS zapis koristeći tačne vrednosti koje vam je Cloudflare dao:
   • Key Tag — broj koji Cloudflare prikazuje.
   • Algorithm — obično 13 (ECDSA P-256 SHA-256).
   • Digest Type — obično 2 (SHA-256).
   • Digest — dugački heksadecimalni string, kopiran tačno.
7. Sačuvajte kod registrara. Ako vaš registrar dopušta da nalepite celi kombinirani DS zapis umesto zasebnih polja, koristite puni DS red koji je Cloudflare prikazao.
8. Nazad u Cloudflare-u, kada registrar prihvati DS zapis, DNSSEC status će se promeniti u active (ovo može potrajati neko vreme).

Greške koje se često prave na Cloudflare-u

• Dva sistema, ne jedan. Samo uključivanje DNSSEC-a u Cloudflare-u samo po sebi ne radi ništa — DS zapis mora biti i kod registrara. Ljudi stanu posle koraka 3 i čude se zašto nikad ne postaje aktivan.
• Kopirajte digest tačno. Jedan pogrešan ili nedostajući karakter u Digest-u znači da DS zapis registrara neće odgovarati Cloudflare-ovim potpisima, što je tačno ona pogrešna konfiguracija koja isključuje domen. Kopirajte i nalepite; nikad ne kucajte ručno.
• Uskladite brojeve algoritma i digest-type. Ako vaš registrar traži ove vrednosti posebno, koristite vrednosti koje Cloudflare prikazuje — ne pogađajte.
• Ako je Cloudflare i vaš registrar, DS korak se obavlja interno i možda nećete videti zasebnu registrar formu — ali potvrdite da DNSSEC pokazuje kao aktivan pre nego što pretpostavite da je gotovo.
• Nikad ne uklanjajte DS zapis dok Cloudflare još uvek potpisuje. I ako ikada migrišete DNS sa Cloudflare-a, onemogućite DNSSEC i obrišite DS zapis kod registrara pre prelaska.
• Dajte mu vremena. DNSSEC izmene mogu potrajati od nekoliko minuta do celog dana da se potpuno propagiraju i pokažu kao aktivne.

Proverite da li je uspelo

Kada DNSSEC pokazuje kao aktivan u Cloudflare-u i DS zapis je na mestu kod registrara, pokrenite besplatnu proveru na ovom sajtu. Jasnin jezik će vam reći da li je DNSSEC pravilno objavljen i pouzdan za vaš domen.

Gotovo? Proverite svoj domen besplatno da potvrdite da je uspelo — i vidite svoju potpunu ocenu kroz svih 34 provera.