Defaults.Exposed › Podešavanje › DNSSEC

Kako podesiti DNSSEC na Namecheap-u

Omogućite DNSSEC na Namecheap-u kako niko ne bi mogao da falsifikuje vaše DNS odgovore i preusmerava vaše posetioce ili poštu.

Zašto je ovo važno za vaše poslovanje

Svaki put kada neko otvori vaš sajt ili vam pošalje email, njihov računar pita DNS sistem gde da vas pronađe. Ti odgovori obično putuju bez potpisa, pa napadač koji može da ometa pretragu može tiho poslati vaše posetioce na lažni sajt ili preusmeriti vašu poštu na sopstveni server — a vaš pravi domen i dalje se prikazuje u adresnoj traci.

DNSSEC zatvara tu rupu. Kriptografski potpisuje vaše DNS odgovore, pa svako ko vas traži može potvrditi da je odgovor zaista došao od vas i da nije izmenjeno na putu. Jednostavno rečeno: sprečava otmicu domena i trovanje keša, napade koji pretvaraju vaš sopstveni domen u oružje protiv vaših klijenata. Besplatan je, a kada Namecheap upravlja vašim DNS-om, gotovo je jedan klik.

Kako DNSSEC funkcioniše (i zašto Namecheap može biti jednostavan)

DNSSEC ima dva dela: DNS host potpisuje vaše zapise i objavljuje ključeve (DNSKEY) plus mali otisak prstiju zvani DS zapis, a registrar objavljuje taj DS zapis u roditeljsku zonu kako bi ostatak interneta verovao potpisima.

Kada Namecheap je i vaš registrar i vaš DNS host — to jest, vaš domen koristi Namecheap BasicDNS / PremiumDNS — Namecheap radi oba dela jednim prekidačem. Potpisuje zonu i objavljuje DS zapis uz lanac umesto vas. Kada je vaš DNS hostovan negde drugde, vi umesto toga ručno kopirate DS zapis od tog hosta u Namecheap.

Pravi rizik — uradite ovo po redu

DNSSEC može isključiti vaš domen ako se pogrešno postavi. Dva načina na koja se to dešava:

• DS zapis dodat kod registrara koji ne odgovara onome čime DNS host zapravo potpisuje.
• Premeštanje DNS-a na drugog hosta (ili isključivanje potpisivanja) bez prethodnog uklanjanja DS zapisa — zaostali DS zapis nastavlja da zahteva potpise koji više ne postoje, i pretrage propadaju.

Dakle: ako ikada premestite DNS sa Namecheap-a, ili sa Namecheap name servera, najpre onemogućite DNSSEC i obrišite DS zapis, pa tek onda premestite. Sledite tok ispod po redu i sve je bezbedno.

Proverite da li Namecheap upravlja vašim DNS-om

Proverite šta odgovara na DNS upite za vaš domen. U svom Namecheap nalogu otvorite domen i pogledajte podešavanje Nameservers na kartici Domain:

• Ako je podešeno na Namecheap BasicDNS ili Namecheap Web Hosting DNS / PremiumDNS, Namecheap hostuje vaš DNS — koristite jednoklik tok.
• Ako prikazuje Custom DNS koji pokazuje na drugog provajdera, taj provajder hostuje vaš DNS — najpre tamo uključite DNSSEC, pa DS zapis koji dobijete unesite u Namecheap.

Korak po korak na Namecheap-u (Namecheap je i registrar i DNS host)

1. Prijavite se na Namecheap.
2. Idite na Domain List i kliknite Manage pored vašeg domena.
3. Otvorite karticu Advanced DNS.
4. Skrolujte do sekcije DNSSEC.
5. Prebacite DNSSEC na on.
6. Potvrdite. Sa Namecheap-ovim sopstvenim DNS-om, Namecheap potpisuje zonu i objavljuje DS zapis uz lanac — nema ničega što treba da kopirate drugde.

Korak po korak kada je vaš DNS hostovan negde drugde

Ako je Namecheap vaš registrar, ali drugu kompaniju hostuje vaš DNS:

1. Najpre uključite DNSSEC kod vašeg DNS hosta i kopirajte vrednosti DS zapisa koje generiše — tipično Key Tag, Algorithm, Digest Type i Digest.
2. Na Namecheap-u otvorite domen i idite na karticu Advanced DNS, pa sekciju DNSSEC.
3. Dodajte DS zapis i unesite vrednosti od vašeg DNS hosta tačno u odgovarajuća polja.
4. Sačuvajte. DS zapis je sada objavljen u roditeljskoj zoni i lanac poverenja je kompletiran.

Greške koje se često prave na Namecheap-u

• Prekidač radi sve samo kada Namecheap hostuje i vaš DNS. Na Custom DNS, samo prevrtanje prekidača nije dovoljno — morate nalepiti DS zapis od vašeg pravog DNS hosta.
• Nemojte dvostruko potpisivati. Ako vaš spoljni DNS host već potpisuje zonu, vi samo unosite njegov DS zapis na Namecheap-u — ne uključujete i Namecheap-ovo sopstveno potpisivanje.
• Kopirajte DS vrednosti karakter po karakter. Jedna pogrešna cifra u Digest-u znači da DS neće odgovarati potpisima, što je tačno ono što isključuje domen. Nalepite, nikad ne kucajte ručno.
• Uskladite brojeve algoritma i digest-type sa onim što vaš DNS host prikazuje — ne pogađajte.
• Onemogućite DNSSEC pre promene name servera. Promena DNS hosta sa zaostalim DS zapisom je klasičan način isključivanja domena.
• Dajte mu vremena. Izmene mogu potrajati od nekoliko minuta do celog dana da se potpuno propagiraju.

Proverite da li je uspelo

Kada se DNSSEC uključi (i svaki DS zapis je na mestu), pokrenite besplatnu proveru na ovom sajtu. Jasnin jezik će vam reći da li je DNSSEC pravilno objavljen i pouzdan za vaš domen.

Gotovo? Proverite svoj domen besplatno da potvrdite da je uspelo — i vidite svoju potpunu ocenu kroz svih 34 provera.