Defaults.Exposed › Cài đặt › DNSSEC

Cách thiết lập DNSSEC trên Cloudflare

Bật DNSSEC trong Cloudflare và thêm bản ghi DS tại nhà đăng ký để không ai có thể giả mạo câu trả lời DNS của bạn.

Tại sao điều này quan trọng với doanh nghiệp của bạn

Khi ai đó nhập tên miền của bạn hoặc gửi email cho bạn, máy tính của họ hỏi hệ thống DNS về địa chỉ đúng. Thông thường các câu trả lời đó truyền đi mà không được ký, nghĩa là kẻ tấn công có thể can thiệp vào đó, âm thầm trỏ khách truy cập của bạn đến một website giả mạo hoặc chuyển hướng email của bạn đến máy chủ của chúng. Khách hàng của bạn vẫn nhìn thấy tên miền thật của bạn trên thanh địa chỉ suốt thời gian đó.

DNSSEC lấp kín lỗ hổng đó. Nó ký điện tử vào các câu trả lời DNS của bạn, để người tra cứu có thể chứng minh câu trả lời thực sự đến từ bạn và không bị thay đổi trên đường. Nói đơn giản: DNSSEC ngăn tội phạm chiếm quyền tên miền của bạn hoặc đầu độc các tra cứu trỏ người ta đến với bạn. Miễn phí, và đây là một trong những bảo vệ mạnh nhất bạn có thể bật cho nền tảng mà mọi thứ khác đặt trên đó.

DNSSEC thực sự hoạt động thế nào (để các bước có ý nghĩa)

DNSSEC có hai nửa nằm ở hai nơi:

• Nhà cung cấp DNS (Cloudflare) ký các bản ghi của bạn và công bố các khóa công khai (DNSKEY) cùng một dấu vân tay nhỏ của chúng gọi là bản ghi DS.
• Nhà đăng ký (nơi bạn mua và gia hạn tên miền) công bố bản ghi DS đó lên zone cha (ví dụ .com).

Bản ghi DS tại nhà đăng ký là mắt xích trong chuỗi tin cậy. Cloudflare có thể ký cả ngày, nhưng cho đến khi bản ghi DS khớp được đăng ký tại nhà đăng ký, internet rộng lớn hơn không có cách nào đã được ký để tin tưởng những chữ ký đó. Vì vậy công việc gồm hai bước: bật trong Cloudflare, sau đó giao bản ghi DS cho nhà đăng ký.

Rủi ro thực sự — làm điều này cẩn thận

DNSSEC có thể đưa toàn bộ tên miền của bạn ngoại tuyến nếu thực hiện sai. Hai cách điều đó xảy ra:

• Công bố bản ghi DS tại nhà đăng ký không khớp với những gì nhà cung cấp DNS của bạn thực sự đang ký.
• Chuyển DNS sang nhà cung cấp khác (hoặc tắt Cloudflare) mà không xóa bản ghi DS tại nhà đăng ký trước — bản ghi DS cũ tiếp tục đòi hỏi chữ ký không còn tồn tại, và các tra cứu bắt đầu thất bại.

Không cái nào nguy hiểm nếu bạn tuân theo quy trình bên dưới theo thứ tự và không bao giờ xóa bản ghi DS tại nhà đăng ký trong khi Cloudflare vẫn là nhà cung cấp ký của bạn. Nếu bạn dự định rời khỏi Cloudflare, hãy vô hiệu hóa DNSSEC và xóa bản ghi DS tại nhà đăng ký trước, rồi mới chuyển.

Xác nhận Cloudflare đang quản lý DNS của bạn

Điều này chỉ hoạt động nếu Cloudflare đang trả lời các truy vấn DNS cho tên miền của bạn. Cloudflare là nhà cung cấp DNS của bạn, không nhất thiết là công ty bạn mua tên miền từ đó. DNS của Cloudflare chỉ hoạt động khi nameservers của tên miền trỏ vào các nameservers Cloudflare hiển thị trong dashboard. Mở tên miền trong Cloudflare và kiểm tra trang Overview để xác nhận Cloudflare đang hoạt động. Nếu nameservers trỏ đến nơi khác, hãy bật DNSSEC tại nhà cung cấp DNS đang quản lý tên miền của bạn.

Hướng dẫn từng bước trên Cloudflare

1. Đăng nhập vào Cloudflare và chọn tên miền của bạn.
2. Trong menu bên trái, vào DNS, sau đó Settings (các dashboard cũ hiển thị phần DNSSEC trực tiếp trong DNS).
3. Tìm DNSSEC và nhấp Enable DNSSEC.
4. Cloudflare sẽ hiển thị một bảng các giá trị — quan trọng nhất là bản ghi DS. Thông thường bạn sẽ thấy các trường như Key Tag, Algorithm, Digest Type, Digest, và một dòng DS record đã được tạo sẵn. Để bảng này mở; bạn cần sao chép những thông tin này sang nhà đăng ký.
5. Bây giờ đăng nhập vào nhà đăng ký của bạn (công ty bạn gia hạn tên miền — có thể là Cloudflare hoặc không).
6. Tìm phần DNSSEC hoặc bản ghi DS cho tên miền của bạn tại nhà đăng ký và thêm bản ghi DS mới bằng các giá trị chính xác mà Cloudflare cung cấp:
   • Key Tag — số mà Cloudflare hiển thị.
   • Algorithm — thường là 13 (ECDSA P-256 SHA-256).
   • Digest Type — thường là 2 (SHA-256).
   • Digest — chuỗi thập lục phân dài, sao chép chính xác.
7. Lưu tại nhà đăng ký. Nếu nhà đăng ký cho phép bạn dán một dòng DS record kết hợp thay vì các trường riêng biệt, hãy dùng dòng DS đầy đủ mà Cloudflare hiển thị.
8. Quay lại Cloudflare, sau khi nhà đăng ký chấp nhận bản ghi DS, trạng thái DNSSEC của Cloudflare sẽ chuyển sang active (điều này có thể mất một chút thời gian để xác nhận).

Những lỗi phổ biến với Cloudflare

• Hai hệ thống, không phải một. Bật DNSSEC trong Cloudflare một mình không làm được gì — bản ghi DS cũng phải được đăng ký tại nhà đăng ký của bạn. Nhiều người dừng ở bước 3 và tự hỏi tại sao nó không bao giờ chuyển sang active.
• Sao chép digest chính xác. Một ký tự sai hoặc thiếu trong Digest có nghĩa là bản ghi DS của nhà đăng ký sẽ không khớp với chữ ký của Cloudflare — đây chính xác là cấu hình sai có thể đưa tên miền ngoại tuyến. Sao chép và dán; đừng bao giờ gõ lại.
• Khớp số algorithm và digest-type. Nếu nhà đăng ký yêu cầu những thứ này riêng biệt, hãy dùng các giá trị mà Cloudflare hiển thị — đừng đoán.
• Nếu Cloudflare cũng là nhà đăng ký của bạn, bước DS được xử lý nội bộ và bạn có thể không thấy biểu mẫu nhà đăng ký riêng — nhưng hãy xác nhận DNSSEC hiển thị là active trước khi cho rằng đã xong.
• Đừng bao giờ xóa bản ghi DS trong khi Cloudflare vẫn đang ký. Và nếu bạn dự định di chuyển DNS khỏi Cloudflare, hãy vô hiệu hóa DNSSEC và xóa bản ghi DS tại nhà đăng ký trước khi di chuyển.
• Chờ một chút. Thay đổi DNSSEC có thể mất từ vài phút đến một ngày để lan truyền đầy đủ và hiển thị là active.

Xác minh thiết lập

Sau khi DNSSEC hiển thị là active trong Cloudflare và bản ghi DS đã có mặt tại nhà đăng ký, hãy chạy kiểm tra miễn phí trên trang web này. Kết quả sẽ cho bạn biết bằng ngôn ngữ đơn giản liệu DNSSEC đã được công bố đúng và được tin cậy cho tên miền của bạn.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.