Defaults.Exposed › Налаштування › DNSSEC

Як налаштувати DNSSEC на Cloudflare

Увімкніть DNSSEC у Cloudflare і додайте DS-запис у вашого реєстратора, щоб ніхто не міг підробити ваші DNS-відповіді.

Чому це важливо для вашого бізнесу

Коли хтось вводить ваш домен або надсилає вам листа, його комп’ютер запитує у DNS-системи правильну адресу. Зазвичай ці відповіді передаються без підпису, тому зловмисник, який може їх перехопити, може непомітно направити ваших відвідувачів на підроблений сайт або перенаправити вашу пошту на свій сервер. При цьому ваш реальний домен відображається в адресному рядку весь час.

DNSSEC закриває цю прогалину. Він криптографічно підписує ваші DNS-відповіді, тому той, хто вас шукає, може переконатися, що відповідь дійсно прийшла від вас і не була змінена по дорозі. Простими словами: він захищає від захоплення домену та підміни кешу — атак, що перетворюють ваш власний домен на зброю проти ваших клієнтів. Це безкоштовно, і це один із найпотужніших захисних заходів, який ви можете увімкнути для фундаменту, на якому тримається все інше.

Як DNSSEC працює (щоб кроки мали сенс)

DNSSEC складається з двох частин, що знаходяться в двох місцях:

• Ваш DNS-хост (Cloudflare) підписує ваші записи і публікує відкриті ключі (DNSKEY) та невеликий відбиток від них — DS-запис.
• Ваш реєстратор (де ви купили і поновлюєте домен) публікує цей DS-запис у батьківській зоні (наприклад, .com).

DS-запис у реєстратора — це ланка ланцюга довіри. Cloudflare може підписувати скільки завгодно, але поки відповідний DS-запис не зареєстровано у вашого реєстратора, ширший інтернет не має підписаного способу довіряти цим підписам. Тому задача складається з двох кроків: увімкнути DNSSEC у Cloudflare, потім передати DS-запис реєстратору.

Реальний ризик — дійте обережно

DNSSEC може вивести весь ваш домен з мережі, якщо зроблено неправильно. Це відбувається двома способами:

• Публікація DS-запису у реєстратора, який не збігається з тим, чим фактично підписує ваш DNS-хост.
• Переміщення DNS до іншого хоста (або вимкнення Cloudflare) без попереднього видалення DS-запису у реєстратора — старий DS-запис продовжує вимагати підписи, яких більше немає, і пошук починає провалюватися.

Жодне з цього не небезпечно, якщо ви дотримуєтесь наведеного нижче порядку дій і ніколи не видаляєте DS-запис у реєстратора, поки Cloudflare є вашим підписувальним хостом. Якщо ви коли-небудь плануєте піти з Cloudflare — спочатку вимкніть DNSSEC і видаліть DS-запис у реєстратора, потім переходьте.

Перевірте, чи Cloudflare обслуговує ваш DNS

Це працює лише тоді, коли Cloudflare відповідає на DNS-запити для вашого домену. Cloudflare є вашим DNS-хостом, а не обов’язково компанією, де ви купили домен. DNS Cloudflare активний лише тоді, коли сервери імен вашого домену вказують на сервери Cloudflare, зазначені у вашій панелі керування. Відкрийте ваш домен у Cloudflare й перевірте сторінку Overview, щоб підтвердити активність Cloudflare. Якщо сервери імен вказують деінде — увімкніть DNSSEC у того провайдера, який керує вашим DNS.

Покрокова інструкція для Cloudflare

1. Увійдіть до Cloudflare і виберіть ваш домен.
2. У лівому меню перейдіть до DNS, потім Settings (у старих панелях розділ DNSSEC показується безпосередньо під DNS).
3. Знайдіть DNSSEC і натисніть Enable DNSSEC.
4. Cloudflare відобразить панель зі значеннями — найважливіше — це DS record. Зазвичай ви побачите поля Key Tag, Algorithm, Digest Type, Digest та готовий однорядковий DS record. Залиште цю панель відкритою; вам потрібно скопіювати ці значення до вашого реєстратора.
5. Тепер увійдіть до вашого реєстратора (компанія, де ви поновлюєте домен — це може або не може бути Cloudflare).
6. Знайдіть розділ DNSSEC або DS-записів для вашого домену у реєстратора і додайте новий DS-запис, використовуючи точні значення, надані Cloudflare:
   • Key Tag — число, яке показує Cloudflare.
   • Algorithm — зазвичай 13 (ECDSA P-256 SHA-256).
   • Digest Type — зазвичай 2 (SHA-256).
   • Digest — довгий шістнадцятковий рядок, скопійований точно.
7. Збережіть у реєстратора. Якщо ваш реєстратор дозволяє вставити один комбінований рядок DS-запису замість окремих полів — використовуйте повний DS-рядок, який показав Cloudflare.
8. Поверніться до Cloudflare — після того, як реєстратор прийме DS-запис, статус DNSSEC у Cloudflare зміниться на active (це може зайняти деякий час).

Типові помилки на Cloudflare

• Два системи, а не одна. Увімкнення DNSSEC лише у Cloudflare само по собі нічого не робить — DS-запис також має бути зареєстрований у вашого реєстратора. Люди зупиняються після кроку 3 і дивуються, чому DNSSEC так і не стає активним.
• Копіюйте digest точно. Один неправильний або пропущений символ у Digest означає, що DS-запис реєстратора не буде відповідати підписам Cloudflare — це саме та неправильна конфігурація, яка виводить домен з мережі. Копіюйте і вставляйте; ніколи не передруковуйте.
• Зверніть увагу на номери algorithm і digest-type. Якщо ваш реєстратор запитує їх окремо — використовуйте значення, які показує Cloudflare, не вгадуйте.
• Якщо Cloudflare також є вашим реєстратором — крок з DS обробляється внутрішньо, і ви можете не побачити окрему форму реєстратора, але підтвердьте, що DNSSEC відображається як active, перш ніж вважати, що все готово.
• Ніколи не видаляйте DS-запис, поки Cloudflare ще підписує. І якщо ви коли-небудь переносите DNS з Cloudflare — спочатку вимкніть DNSSEC і очистіть DS-запис у реєстратора.
• Дайте час. Зміни DNSSEC можуть займати від кількох хвилин до доби для повного поширення і відображення як active.

Перевірте результат

Після того як DNSSEC відображається як active у Cloudflare і DS-запис є у вашого реєстратора, запустіть безкоштовну перевірку на цьому сайті. Вона простими словами скаже, чи DNSSEC правильно опублікований і довірений для вашого домену.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.