Defaults.Exposed › Podešavanje › DNSSEC

Kako podesiti DNSSEC na GoDaddy-u

Uključite DNSSEC na GoDaddy-u jednim prekidačem kako niko ne bi mogao da falsifikuje vaše DNS odgovore i otme vaš domen.

Zašto je ovo važno za vaše poslovanje

Kada neko poseti vaš sajt ili vam šalje email, njihov računar najpre pita DNS sistem za pravu adresu. Ti odgovori normalno putuju bez potpisa, pa napadač koji može da presiretne pretragu može tiho poslati vaše posetioce na lažni sajt ili preusmeriti vašu poštu na sopstveni server — dok se vaš pravi domen i dalje vidi u adresnoj traci.

DNSSEC to zaustavlja. Kriptografski potpisuje vaše DNS odgovore, pa svako ko vas traži može dokazati da je odgovor zaista došao od vas i da nije izmenjen na putu. Jednostavno rečeno: blokira otmicu domena i trovanje keša, napade koji okreću vaš sopstveni domen protiv vaših klijenata. Besplatan je, a na GoDaddy-u je obično jedan jedini prekidač.

Kako DNSSEC funkcioniše (i zašto je GoDaddy jednostavan)

DNSSEC ima dva dela: DNS host potpisuje vaše zapise i objavljuje ključeve (DNSKEY) plus mali otisak prstiju zvani DS zapis, a registrar objavljuje taj DS zapis u roditeljsku zonu kako bi ostatak interneta mogao da veruje potpisima.

Kada GoDaddy je i vaš registrar i vaš DNS host — što je slučaj za većinu GoDaddy domena koji koriste GoDaddy name servere — GoDaddy radi oba dela umesto vas. Prevrnete jedan prekidač; GoDaddy generiše ključeve i automatski objavljuje DS zapis uz lanac. Nema kopiranja vrednosti između sistema.

Pravi rizik — kada nije tako jednostavno

DNSSEC može isključiti vaš domen ako je pogrešno konfigurisano. Opasnost nastaje uglavnom kada su registrar i DNS host različite kompanije, ili kada menjate DNS host:

• Ako je vaš domen registrovan na GoDaddy-u, ali DNS je hostovan negde drugde, GoDaddy-ov jednoklik prekidač se ne primenjuje — morate uključiti potpisivanje kod vašeg pravog DNS hosta i ručno dodati DS zapis na GoDaddy-u.
• Ako ikada premestite DNS sa GoDaddy-a, najpre isključite DNSSEC. Zaostali DS zapis koji više ne odgovara aktivnom hostu za potpisivanje izazivaće propast pretraga i isključivanje domena.

Ako je GoDaddy i registrar i DNS host, jednoklik tok ispod je bezbedan.

Proverite da li GoDaddy upravlja vašim DNS-om

Ovo je važno samo ako GoDaddy zaista odgovara na DNS upite za vaš domen. Proverite da vaš domen koristi GoDaddy name servere: u svom GoDaddy nalogu otvorite domen i pogledajte podešavanje Nameservers. Ako prikazuje GoDaddy-eve sopstvene name servere, jednoklik prekidač je pravi put. Ako name serveri pokazuju na drugog provajdera (na primer zasebni DNS host), umesto toga uključite DNSSEC kod tog provajdera, pa DS zapis koji vam da unesite u GoDaddy.

Korak po korak na GoDaddy-u (jednoklik, GoDaddy je i registrar i DNS host)

1. Prijavite se na svoj GoDaddy nalog.
2. Idite na My Products (ili Domain Portfolio).
3. Pronađite vaš domen i otvorite stranicu za upravljanje — kliknite na naziv domena ili trotačkasti meni i izaberite Manage DNS / Domain Settings.
4. Skrolujte do sekcije Additional Settings (na nekim nalozima se pojavljuje pod DNS Management).
5. Pronađite DNSSEC i kliknite Manage ili prekidač.
6. Prebacite DNSSEC na on.
7. Potvrdite. GoDaddy generiše ključeve, potpisuje vašu zonu i objavljuje DS zapis uz lanac — nema ničega što treba da kopirate drugde.

Korak po korak kada je vaš DNS hostovan negde drugde

Ako je GoDaddy samo vaš registrar, a DNS hostuje druga kompanija:

1. Najpre uključite DNSSEC kod vašeg DNS hosta i kopirajte DS zapis koji generiše (biće vam potrebni Key Tag, Algorithm, Digest Type i Digest).
2. Na GoDaddy-u otvorite domen i pronađite sekciju DNSSEC u Additional Settings.
3. Izaberite da dodate DS zapis i unesite vrednosti od vašeg DNS hosta tačno.
4. Sačuvajte. DS zapis je sada objavljen u roditeljskoj zoni i lanac je kompletiran.

Greške koje se često prave na GoDaddy-u

• Najpre proverite ko hostuje vaš DNS. Jednostavni jednoklik prekidač radi ceo posao samo kada GoDaddy je i registrar i DNS host. Ako DNS živi negde drugde, sam prekidač nije dovoljan.
• Nemojte uključivati na dva mesta. Ako vaš DNS host već potpisuje zonu, vi samo dodajete njegov DS zapis na GoDaddy — ne uključujete i GoDaddy-ovo sopstveno potpisivanje, ili ćete imati dva suprotstavljenja podešavanja.
• Kopirajte DS vrednosti tačno kada ih unosite ručno. Jedan pogrešan karakter u Digest-u ruši lanac i može isključiti domen.
• Isključite DNSSEC pre premeštanja DNS-a. Migracija na novi DNS host sa zaostalim DS zapisom je klasičan način isključivanja domena.
• Dajte mu vremena. Izmene mogu potrajati od nekoliko minuta do celog dana da se potpuno propagiraju.

Proverite da li je uspelo

Kada se DNSSEC uključi (i svaki DS zapis je na mestu), pokrenite besplatnu proveru na ovom sajtu. Jasnin jezik će vam reći da li je DNSSEC pravilno objavljen i pouzdan za vaš domen.

Gotovo? Proverite svoj domen besplatno da potvrdite da je uspelo — i vidite svoju potpunu ocenu kroz svih 34 provera.