Defaults.Exposed › Налаштування › DNSSEC

Як налаштувати DNSSEC на GoDaddy

Увімкніть DNSSEC на GoDaddy одним перемикачем, щоб ніхто не міг підробити ваші DNS-відповіді та захопити ваш домен.

Чому це важливо для вашого бізнесу

Коли хтось відвідує ваш сайт або надсилає вам листа, його комп’ютер спочатку запитує у DNS-системи правильну адресу. Ці відповіді зазвичай передаються без підпису, тому зловмисник, який може втрутитися в пошук, може непомітно направити ваших відвідувачів на підроблений сайт або перенаправити вашу пошту на свій сервер — а ваш реальний домен все одно відображається в адресному рядку.

DNSSEC запобігає цьому. Він криптографічно підписує ваші DNS-відповіді, тому будь-хто, хто вас шукає, може переконатися, що відповідь дійсно прийшла від вас і не була змінена при передачі. Простими словами: він блокує захоплення домену та отруєння кешу — атаки, що перетворюють ваш власний домен на зброю проти ваших клієнтів. На GoDaddy це зазвичай один перемикач — безкоштовно.

Як працює DNSSEC (і чому GoDaddy спрощує цей процес)

DNSSEC має дві частини: DNS-хост підписує ваші записи і публікує ключі (DNSKEY) та невеликий відбиток — DS-запис, а реєстратор розміщує цей DS-запис у батьківській зоні, щоб решта інтернету могла довіряти підписам.

Коли GoDaddy є і вашим реєстратором, і вашим DNS-хостом — що так для більшості доменів GoDaddy, які використовують сервери імен GoDaddy — GoDaddy робить обидві частини за вас. Ви перемикаєте один тумблер; GoDaddy генерує ключі і автоматично розміщує DS-запис у ланцюзі. Нічого копіювати між системами.

Реальний ризик — коли все не так просто

DNSSEC може вивести домен з мережі при неправильній конфігурації. Небезпека виникає головним чином тоді, коли реєстратор і DNS-хост — різні компанії, або коли ви переносите DNS-хост:

• Якщо ваш домен зареєстровано у GoDaddy, але DNS хоститься деінде — одноклікний тумблер GoDaddy не підходить; вам потрібно увімкнути підпис у вашому реальному DNS-хості і вручну додати DS-запис до GoDaddy.
• Якщо ви коли-небудь переносите DNS з GoDaddy — спочатку вимкніть DNSSEC. Залишковий DS-запис, що більше не відповідає жодному активному підписувальному хосту, призведе до збоїв пошуку і домен стане недоступним.

Якщо GoDaddy є і реєстратором, і DNS-хостом — одноклікний порядок нижче є безпечним.

Перевірте, чи GoDaddy обслуговує ваш DNS

Це важливо лише тоді, коли GoDaddy фактично відповідає на DNS-запити для вашого домену. Перевірте, що ваш домен використовує сервери імен GoDaddy: у вашому акаунті GoDaddy відкрийте домен і подивіться на налаштування Nameservers. Якщо там відображаються власні сервери імен GoDaddy — одноклікний тумблер є правильним шляхом. Якщо сервери імен вказують на іншого провайдера (наприклад, окремий DNS-хост) — увімкніть DNSSEC у того провайдера, потім додайте DS-запис, який він надасть, у GoDaddy.

Покрокова інструкція для GoDaddy (один клік, GoDaddy є і реєстратором, і DNS-хостом)

1. Увійдіть до вашого акаунту GoDaddy.
2. Перейдіть до My Products (або Domain Portfolio).
3. Знайдіть ваш домен і відкрийте його сторінку управління — натисніть на назву домену або меню з трьома крапками і виберіть Manage DNS / Domain Settings.
4. Прокрутіть до розділу Additional Settings (у деяких акаунтах він з’являється під DNS Management).
5. Знайдіть DNSSEC і натисніть Manage або тумблер.
6. Переведіть DNSSEC в стан on.
7. Підтвердьте. GoDaddy генерує ключі, підписує вашу зону і автоматично публікує DS-запис у ланцюзі — нічого копіювати деінде.

Покрокова інструкція, якщо DNS хоститься деінде

Якщо GoDaddy є лише вашим реєстратором, а DNS хостить інша компанія:

1. Спочатку увімкніть DNSSEC у вашого DNS-хоста і скопіюйте DS-запис, який він створить (вам знадобляться Key Tag, Algorithm, Digest Type і Digest).
2. У GoDaddy відкрийте домен і знайдіть розділ DNSSEC під Additional Settings.
3. Виберіть add DS-запис і введіть значення з вашого DNS-хоста точно.
4. Збережіть. DS-запис тепер розміщений у батьківській зоні, завершуючи ланцюг.

Типові помилки на GoDaddy

• Спочатку перевірте, хто хостить ваш DNS. Простий одноклікний тумблер робить всю роботу лише тоді, коли GoDaddy є і реєстратором, і DNS-хостом. Якщо DNS знаходиться деінде — одного тумблера недостатньо.
• Не вмикайте одночасно в двох місцях. Якщо ваш DNS-хост вже підписує зону — ви лише додаєте його DS-запис у GoDaddy, а не також перемикаєте власний підписувальний тумблер GoDaddy, інакше у вас буде два конкуруючих налаштування.
• Копіюйте DS-значення точно при введенні вручну. Один неправильний символ у Digest розриває ланцюг і може вивести домен з мережі.
• Вимкніть DNSSEC перед переносом DNS. Міграція до нового DNS-хоста із застарілим DS-записом, що ще залишається в місці — класичний спосіб вивести домен з мережі.
• Дайте час. Зміни можуть займати від кількох хвилин до доби для повного поширення.

Перевірте результат

Після увімкнення DNSSEC (і наявності будь-якого DS-запису) запустіть безкоштовну перевірку на цьому сайті. Вона простими словами скаже, чи DNSSEC правильно опублікований і довірений для вашого домену.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.