Defaults.Exposed › Konfiguration › DNSSEC

Så konfigurerar du DNSSEC på Cloudflare

Slå på DNSSEC i Cloudflare och lägg till DS-recordet hos din registrar så att ingen kan förfalska dina DNS-svar.

Det här betyder för din verksamhet

När någon skriver in din domän eller skickar e-post till dig frågar deras dator DNS-systemet efter rätt adress. Normalt sett färdas dessa svar osignerade, vilket innebär att en angripare som kan manipulera dem tyst kan peka dina besökare mot en falsk webbplats eller omdirigera din e-post till sin egen server. Dina kunder ser din riktiga domän i adressfältet hela tiden.

DNSSEC täpper till den luckan. Det kryptografiskt signerar dina DNS-svar, så att den som slår upp dig kan bevisa att svaret verkligen kom från dig och inte ändrades på vägen. Enkelt uttryckt: det stoppar bedragare från att kapa din domän eller förgifta de uppslag som pekar folk till dig. Det är gratis, och det är ett av de starkaste skydden du kan aktivera för den grund allt annat vilar på.

Hur DNSSEC faktiskt fungerar (så att stegen ger mening)

DNSSEC har två halvor som finns på två ställen:

• Din DNS-host (Cloudflare) signerar dina records och publicerar de publika nycklarna (en DNSKEY) plus ett litet fingeravtryck av dem som kallas ett DS-record.
• Din registrar (där du köpte och förnyar domänen) publicerar det DS-recordet uppåt i föräldrazonen (till exempel .com).

DS-recordet hos registraren är länken i förtroendekedjan. Cloudflare kan signera hur mycket som helst, men tills det matchande DS-recordet finns hos din registrar har det bredare internet inget signerat sätt att lita på de signaturer. Så uppgiften är två steg: slå på det i Cloudflare, lämna sedan DS-recordet till din registrar.

Den verkliga risken — gör detta noggrant

DNSSEC kan ta hela din domän offline om det görs fel. Det sker på två sätt:

• Att publicera ett DS-record hos registraren som inte matchar det din DNS-host faktiskt signerar med.
• Att flytta din DNS till en annan host (eller stänga av Cloudflare) utan att först ta bort DS-recordet hos registraren — det gamla DS-recordet kräver fortsatt signaturer som inte längre finns, och uppslag börjar misslyckas.

Inget av detta är farligt om du följer flödet nedan i ordning och aldrig tar bort DS-recordet hos registraren medan Cloudflare fortfarande är din signeringshost. Om du någonsin planerar att flytta bort från Cloudflare, inaktivera DNSSEC och ta bort DS-recordet hos registraren först, flytta sedan.

Bekräfta att Cloudflare hanterar din DNS

Det här fungerar bara om Cloudflare svarar på DNS för din domän. Cloudflare är din DNS-host, inte nödvändigtvis företaget du köpte domänen av. Cloudflares DNS är bara aktiv när din domäns namnservrar pekar på Cloudflares namnservrar som visas i din instrumentpanel. Öppna din domän i Cloudflare och kontrollera sidan Overview för att bekräfta att Cloudflare är aktivt. Pekar dina namnservrar någon annanstans, aktivera DNSSEC hos den leverantör som hanterar din DNS i stället.

Steg för steg på Cloudflare

1. Logga in på Cloudflare och välj din domän.
2. I menyn till vänster, gå till DNS, sedan Settings (äldre instrumentpaneler visar ett DNSSEC-avsnitt direkt under DNS).
3. Hitta DNSSEC och klicka på Enable DNSSEC.
4. Cloudflare visar en panel med värden — det viktiga är DS-recordet. Du ser vanligtvis fält som Key Tag, Algorithm, Digest Type, Digest och ett färdigt DS-record på en rad. Lämna den här panelen öppen; du behöver kopiera dessa till din registrar.
5. Logga nu in på din registrar (företaget du förnyar domänen hos — det kanske är Cloudflare eller kanske inte).
6. Hitta avsnittet för DNSSEC eller DS-record för din domän hos registraren och lägg till ett nytt DS-record med exakt de värden Cloudflare gav dig:
   • Key Tag — numret Cloudflare visar.
   • Algorithm — vanligtvis 13 (ECDSA P-256 SHA-256).
   • Digest Type — vanligtvis 2 (SHA-256).
   • Digest — den långa hexadecimala strängen, kopierad exakt.
7. Spara hos registraren. Om din registrar låter dig klistra in en enda kombinerad DS-record-rad i stället för separata fält, använd den fullständiga DS-raden Cloudflare visade.
8. Tillbaka i Cloudflare, när registraren har accepterat DS-recordet, kommer Cloudflares DNSSEC-status att gå till active (det kan ta en liten stund att bekräfta).

Vanliga misstag på Cloudflare

• Två system, inte ett. Att aktivera DNSSEC i Cloudflare ensamt gör ingenting på egen hand — DS-recordet måste också lämnas in till din registrar. Många stannar efter steg 3 och undrar varför det aldrig blir aktivt.
• Kopiera digest:en exakt. Ett enda fel eller saknat tecken i Digest innebär att registrarens DS-record inte matchar Cloudflares signaturer, vilket är exakt den felkonfiguration som tar en domän offline. Kopiera och klistra in; skriv aldrig om det.
• Matcha algoritm- och digest-type-numren. Om din registrar frågar om dessa separat, använd de värden Cloudflare visar — gissa inte.
• Om Cloudflare också är din registrar hanteras DS-steget internt och du kanske inte ser ett separat registrarformulär — men bekräfta att DNSSEC visas som active innan du antar att det är klart.
• Ta aldrig bort DS-recordet medan Cloudflare fortfarande signerar. Och om du någonsin migrerar DNS bort från Cloudflare, inaktivera DNSSEC och rensa DS-recordet hos registraren innan flytten.
• Ge det tid. DNSSEC-ändringar kan ta från några minuter upp till en dag att spridas helt och visas som active.

Verifiera att det fungerade

När DNSSEC visas som active i Cloudflare och DS-recordet finns hos din registrar, kör den kostnadsfria kontrollen på den här webbplatsen. Den berättar på enkelt språk om DNSSEC är korrekt publicerat och betrott för din domän.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.