Defaults.Exposed › Konfiguration › DNSSEC

Så konfigurerar du DNSSEC på GoDaddy

Slå på DNSSEC i GoDaddy med ett klick så att ingen kan förfalska dina DNS-svar och kapa din domän.

Det här betyder för din verksamhet

När någon besöker din webbplats eller skickar e-post till dig frågar deras dator först DNS-systemet efter rätt adress. Dessa svar färdas normalt sett osignerade, så en angripare som kan manipulera uppslaget kan tyst skicka dina besökare till en falsk webbplats eller omdirigera din e-post till sin egen server — medan din riktiga domän fortfarande visas i adressfältet.

DNSSEC stoppar det. Det kryptografiskt signerar dina DNS-svar, så att alla som slår upp dig kan bevisa att svaret verkligen kom från dig och inte ändrades under transport. Enkelt uttryckt: det blockerar domänkapning och cache-förgiftning, de attacker som vänder din egen domän mot dina kunder. Det är gratis, och på GoDaddy är det vanligtvis en enda switch.

Hur DNSSEC fungerar (och varför GoDaddy är enkelt här)

DNSSEC har två halvor: DNS-hosten signerar dina records och publicerar nycklarna (en DNSKEY) plus ett litet fingeravtryck kallat ett DS-record, och registraren lämnar in det DS-recordet i föräldrazonen så att resten av internet kan lita på signaturer.

När GoDaddy är både din registrar och din DNS-host — vilket det är för de flesta GoDaddy-domäner som använder GoDaddy-namnservrar — gör GoDaddy båda halvorna åt dig. Du vänder en switch; GoDaddy genererar nycklarna och lämnar DS-recordet uppåt i kedjan automatiskt. Inga värden att kopiera mellan system.

Den verkliga risken — när det inte är så enkelt

DNSSEC kan ta din domän offline om det är felkonfigurerat. Faran uppstår främst när registraren och DNS-hosten är olika företag, eller när du byter DNS-host:

• Om din domän är registrerad hos GoDaddy men din DNS hostas någon annanstans, gäller inte GoDaddys ettklicksswitch — du måste aktivera signering hos din riktiga DNS-host och lägga till DS-recordet i GoDaddy för hand.
• Om du någonsin flyttar din DNS bort från GoDaddy, stäng av DNSSEC först. Ett kvarlämnat DS-record som inte längre matchar någon aktiv signeringshost kommer att orsaka att uppslag misslyckas och domänen går mörk.

Om GoDaddy är både registrar och DNS-host är ettklicksflödet nedan säkert.

Bekräfta att GoDaddy hanterar din DNS

Det här spelar bara roll om GoDaddy faktiskt svarar på DNS för din domän. Kontrollera att din domän använder GoDaddy-namnservrar: i ditt GoDaddy-konto, öppna domänen och titta på dess Nameservers-inställning. Visar det GoDaddys egna namnservrar är ettklicksswichen rätt väg. Pekar namnservrarna på en annan leverantör (till exempel en separat DNS-host), aktivera DNSSEC hos den leverantören i stället, lägg sedan till det DS-record den ger dig i GoDaddy.

Steg för steg på GoDaddy (ett klick, GoDaddy är registrar och DNS-host)

1. Logga in på ditt GoDaddy-konto.
2. Gå till My Products (eller Domain Portfolio).
3. Hitta din domän och öppna dess hanteringssida — klicka på domännamnet eller tre-punkts-menyn och välj Manage DNS / Domain Settings.
4. Scrolla till avsnittet Additional Settings (på vissa konton visas det under DNS Management).
5. Hitta DNSSEC och klicka på Manage eller switchen.
6. Slå på DNSSEC.
7. Bekräfta. GoDaddy genererar nycklarna, signerar din zon och publicerar DS-recordet uppåt i kedjan åt dig — det finns inget att kopiera någon annanstans.

Steg för steg när din DNS hostas någon annanstans

Om GoDaddy bara är din registrar och ett annat företag hostar din DNS:

1. Aktivera DNSSEC hos din DNS-host först och kopiera det DS-record den producerar (du behöver Key Tag, Algorithm, Digest Type och Digest).
2. I GoDaddy, öppna domänen och hitta avsnittet DNSSEC under Additional Settings.
3. Välj att lägga till ett DS-record och ange värdena från din DNS-host exakt.
4. Spara. DS-recordet finns nu i föräldrazonen och kedjan är komplett.

Vanliga misstag på GoDaddy

• Kontrollera vem som hostar din DNS först. Den enkla ettklicksswichen gör hela jobbet bara när GoDaddy är både registrar och DNS-host. Om DNS finns någon annanstans räcker switchen ensam inte.
• Slå inte på det på två ställen. Om din DNS-host redan signerar zonen lägger du bara till dess DS-record hos GoDaddy — du vänder inte också GoDaddys egna signeringsswitch, annars får du två konkurrerande konfigurationer.
• Kopiera DS-värden exakt när du anger dem för hand. Ett enda fel i Digest bryter kedjan och kan ta domänen offline.
• Stäng av DNSSEC innan du byter DNS. Att migrera till en ny DNS-host med ett gammalt DS-record fortfarande på plats är det klassiska sättet att ta en domän offline.
• Ge det tid. Ändringar kan ta från minuter upp till en dag att spridas helt.

Verifiera att det fungerade

När DNSSEC är aktiverat (och eventuellt DS-record finns på plats), kör den kostnadsfria kontrollen på den här webbplatsen. Den berättar på enkelt språk om DNSSEC är korrekt publicerat och betrott för din domän.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.