Defaults.Exposed › Налаштування › DNSSEC

Як налаштувати DNSSEC на Namecheap

Увімкніть DNSSEC на Namecheap, щоб ніхто не міг підробити ваші DNS-відповіді та перенаправити ваших відвідувачів або пошту.

Чому це важливо для вашого бізнесу

Кожного разу, коли хтось відкриває ваш сайт або пише вам, його комп’ютер запитує у DNS-системи, де вас знайти. Ці відповіді зазвичай передаються без підпису, тому зловмисник, який може втрутитися в пошук, може непомітно направити ваших відвідувачів на підроблений сайт або перенаправити вашу пошту на свій сервер — а ваш справжній домен все одно відображається в адресному рядку.

DNSSEC закриває цю прогалину. Він криптографічно підписує ваші DNS-відповіді, тому будь-хто, хто вас шукає, може переконатися, що відповідь дійсно прийшла від вас і не була підроблена по дорозі. Простими словами: він захищає від захоплення домену та отруєння кешу — атак, що перетворюють ваш власний домен на зброю проти ваших клієнтів. Це безкоштовно, і коли Namecheap керує вашим DNS — це майже один клік.

Як DNSSEC працює (і чому Namecheap може бути простим)

DNSSEC має дві частини: DNS-хост підписує ваші записи і публікує ключі (DNSKEY) та невеликий відбиток — DS-запис, а реєстратор розміщує цей DS-запис у батьківській зоні, щоб решта інтернету довіряла підписам.

Коли Namecheap є і вашим реєстратором, і вашим DNS-хостом — тобто ваш домен використовує Namecheap BasicDNS / PremiumDNS — Namecheap обробляє обидві частини одним перемикачем. Він підписує зону і публікує DS-запис у ланцюзі за вас. Коли ваш DNS хоститься деінде — ви натомість копіюєте DS-запис від того хоста до Namecheap вручну.

Реальний ризик — дійте в правильному порядку

DNSSEC може вивести ваш домен з мережі при неправильному налаштуванні. Це відбувається двома способами:

• DS-запис, зареєстрований у реєстратора, який не збігається з тим, чим фактично підписує DNS-хост.
• Переміщення DNS до іншого хоста (або вимкнення підпису) без попереднього видалення DS-запису — застарілий DS-запис продовжує вимагати підписи, яких більше немає, і пошук провалюється.

Тому: якщо ви коли-небудь переносите DNS з Namecheap або з серверів імен Namecheap — спочатку вимкніть DNSSEC і очистіть DS-запис, потім переносьте. Дотримуйтесь наведеного нижче порядку і будете в безпеці.

Перевірте, чи Namecheap обслуговує ваш DNS

Перевірте, що відповідає на DNS-запити для вашого домену. У вашому акаунті Namecheap відкрийте домен і подивіться на налаштування Nameservers на вкладці Domain:

• Якщо встановлено Namecheap BasicDNS або Namecheap Web Hosting DNS / PremiumDNS — Namecheap хостить ваш DNS; використовуйте одноклікний порядок.
• Якщо там Custom DNS, що вказує на іншого провайдера — той провайдер хостить ваш DNS; спочатку увімкніть DNSSEC там, потім додайте DS-запис, який він надасть, до Namecheap.

Покрокова інструкція для Namecheap (Namecheap є і реєстратором, і DNS-хостом)

1. Увійдіть до Namecheap.
2. Перейдіть до Domain List і натисніть Manage поруч із вашим доменом.
3. Відкрийте вкладку Advanced DNS.
4. Прокрутіть до розділу DNSSEC.
5. Переведіть DNSSEC в стан on.
6. Підтвердьте. З власним DNS Namecheap він підписує зону і публікує DS-запис у ланцюзі за вас — нічого копіювати деінде.

Покрокова інструкція, якщо DNS хоститься деінде

Якщо Namecheap є вашим реєстратором, але DNS хостить інша компанія:

1. Спочатку увімкніть DNSSEC у вашого DNS-хоста і скопіюйте значення DS-запису, які він створить — зазвичай Key Tag, Algorithm, Digest Type і Digest.
2. У Namecheap відкрийте домен і перейдіть до вкладки Advanced DNS, потім до розділу DNSSEC.
3. Додайте DS-запис і введіть значення від вашого DNS-хоста точно у відповідні поля.
4. Збережіть. DS-запис тепер розміщений у батьківській зоні, завершуючи ланцюг довіри.

Типові помилки на Namecheap

• Тумблер робить все лише тоді, коли Namecheap також хостить ваш DNS. На Custom DNS одного перемикання недостатньо — ви повинні вставити DS-запис від вашого реального DNS-хоста.
• Не підписуйте двічі. Якщо ваш зовнішній DNS-хост вже підписує зону — ви лише вводите його DS-запис у Namecheap, а не також вмикаєте власний підпис Namecheap.
• Копіюйте DS-значення символ за символом. Одна неправильна цифра у Digest означає, що DS не відповідатиме підписам — саме це виводить домен з мережі. Вставляйте, ніколи не передруковуйте.
• Зверніть увагу на номери algorithm і digest-type — беріть ті, що повідомляє ваш DNS-хост, не вгадуйте.
• Вимкніть DNSSEC перед зміною серверів імен. Перехід до іншого DNS-хоста із застарілим DS-записом, що ще залишається в місці — класичний спосіб вивести домен з мережі.
• Дайте час. Зміни можуть займати від кількох хвилин до доби для повного поширення.

Перевірте результат

Після увімкнення DNSSEC (і наявності будь-якого DS-запису) запустіть безкоштовну перевірку на цьому сайті. Вона простими словами скаже, чи DNSSEC правильно опублікований і довірений для вашого домену.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.