Defaults.Exposed › Cài đặt › DNSSEC

Cách thiết lập DNSSEC trên GoDaddy

Bật DNSSEC trên GoDaddy bằng một công tắc để không ai có thể giả mạo câu trả lời DNS của bạn và chiếm quyền tên miền.

Tại sao điều này quan trọng với doanh nghiệp của bạn

Khi ai đó truy cập website của bạn hoặc gửi email cho bạn, máy tính của họ trước tiên hỏi hệ thống DNS về địa chỉ đúng. Những câu trả lời đó thường truyền đi mà không được ký, vì vậy kẻ tấn công có thể can thiệp vào tra cứu đó, âm thầm gửi khách truy cập của bạn đến một trang giả mạo hoặc chuyển hướng email của bạn đến máy chủ của chúng — trong khi tên miền thật của bạn vẫn hiển thị trên thanh địa chỉ.

DNSSEC ngăn điều đó. Nó ký điện tử vào các câu trả lời DNS của bạn, để bất kỳ ai tra cứu bạn đều có thể chứng minh câu trả lời thực sự đến từ bạn và không bị thay đổi trong quá trình truyền. Nói đơn giản: nó chặn việc chiếm quyền tên miền và đầu độc bộ nhớ cache, các cuộc tấn công biến tên miền của bạn thành vũ khí chống lại khách hàng của bạn. Miễn phí, và trên GoDaddy thường chỉ là một công tắc duy nhất.

DNSSEC hoạt động thế nào (và tại sao GoDaddy dễ dàng ở đây)

DNSSEC có hai nửa: nhà cung cấp DNS ký các bản ghi của bạn và công bố các khóa (DNSKEY) cùng một dấu vân tay nhỏ gọi là bản ghi DS, và nhà đăng ký đăng ký bản ghi DS đó trong zone cha để phần còn lại của internet tin tưởng các chữ ký.

Khi GoDaddy là cả nhà đăng ký và nhà cung cấp DNS của bạn — điều này đúng với hầu hết tên miền GoDaddy dùng nameservers GoDaddy — GoDaddy làm cả hai nửa cho bạn. Bạn bật một công tắc; GoDaddy tạo các khóa và đăng ký bản ghi DS lên chuỗi tự động. Không cần sao chép giá trị giữa các hệ thống.

Rủi ro thực sự — khi không đơn giản như vậy

DNSSEC có thể đưa tên miền của bạn ngoại tuyến nếu cấu hình sai. Nguy hiểm phát sinh chủ yếu khi nhà đăng ký và nhà cung cấp DNS là các công ty khác nhau, hoặc khi bạn chuyển nhà cung cấp DNS:

• Nếu tên miền của bạn được đăng ký tại GoDaddy nhưng DNS được lưu trữ ở nơi khác, công tắc một cú nhấp của GoDaddy không áp dụng — bạn phải bật ký tại nhà cung cấp DNS thực sự và thêm bản ghi DS vào GoDaddy bằng tay.
• Nếu bạn dự định chuyển DNS khỏi GoDaddy, hãy tắt DNSSEC trước. Một bản ghi DS còn lại không còn khớp với bất kỳ nhà cung cấp ký đang hoạt động nào sẽ khiến các tra cứu thất bại và tên miền bị đen tối.

Nếu GoDaddy là cả nhà đăng ký và nhà cung cấp DNS, quy trình một cú nhấp bên dưới là an toàn.

Xác nhận GoDaddy đang quản lý DNS của bạn

Điều này chỉ quan trọng nếu GoDaddy thực sự đang trả lời DNS cho tên miền của bạn. Kiểm tra rằng tên miền của bạn đang dùng nameservers của GoDaddy: trong tài khoản GoDaddy, mở tên miền và xem cài đặt Nameservers. Nếu hiển thị nameservers của GoDaddy, đường dẫn công tắc một cú nhấp là đúng. Nếu nameservers trỏ đến nhà cung cấp khác (ví dụ nhà cung cấp DNS riêng), hãy bật DNSSEC tại nhà cung cấp đó, sau đó thêm bản ghi DS mà họ cung cấp vào GoDaddy.

Hướng dẫn từng bước trên GoDaddy (một cú nhấp, GoDaddy là nhà đăng ký và nhà cung cấp DNS)

1. Đăng nhập vào tài khoản GoDaddy của bạn.
2. Vào My Products (hoặc Domain Portfolio).
3. Tìm tên miền và mở trang quản lý — nhấp tên miền hoặc menu ba chấm và chọn Manage DNS / Domain Settings.
4. Cuộn xuống phần Additional Settings (trên một số tài khoản xuất hiện trong DNS Management).
5. Tìm DNSSEC và nhấp Manage hoặc công tắc.
6. Chuyển DNSSEC sang on.
7. Xác nhận. GoDaddy tạo các khóa, ký zone của bạn, và công bố bản ghi DS lên chuỗi cho bạn — không cần sao chép gì sang nơi khác.

Hướng dẫn khi DNS được lưu trữ ở nơi khác

Nếu GoDaddy chỉ là nhà đăng ký và công ty khác lưu trữ DNS của bạn:

1. Bật DNSSEC tại nhà cung cấp DNS của bạn trước và sao chép bản ghi DS mà họ tạo ra (bạn sẽ cần Key Tag, Algorithm, Digest Type, và Digest).
2. Trong GoDaddy, mở tên miền và tìm phần DNSSEC trong Additional Settings.
3. Chọn add bản ghi DS và nhập chính xác các giá trị từ nhà cung cấp DNS của bạn.
4. Lưu. Bản ghi DS bây giờ được đăng ký trong zone cha, hoàn thành chuỗi.

Những lỗi phổ biến với GoDaddy

• Kiểm tra ai lưu trữ DNS của bạn trước. Công tắc một cú nhấp đơn giản chỉ làm được toàn bộ công việc khi GoDaddy là cả nhà đăng ký và nhà cung cấp DNS. Nếu DNS ở nơi khác, công tắc một mình là không đủ.
• Đừng bật ở hai nơi. Nếu nhà cung cấp DNS của bạn đã ký zone, bạn chỉ thêm bản ghi DS của họ vào GoDaddy — bạn không bật thêm công tắc ký của chính GoDaddy, nếu không bạn sẽ có hai thiết lập cạnh tranh nhau.
• Sao chép các giá trị DS chính xác khi nhập bằng tay. Một ký tự sai trong Digest sẽ phá vỡ chuỗi và có thể đưa tên miền ngoại tuyến.
• Tắt DNSSEC trước khi chuyển DNS. Di chuyển sang nhà cung cấp DNS mới với bản ghi DS cũ còn đó là cách kinh điển để làm tên miền ngoại tuyến.
• Chờ một chút. Thay đổi có thể mất từ vài phút đến một ngày để lan truyền đầy đủ.

Xác minh thiết lập

Sau khi DNSSEC được bật (và bất kỳ bản ghi DS nào đã có mặt), hãy chạy kiểm tra miễn phí trên trang web này. Kết quả sẽ cho bạn biết bằng ngôn ngữ đơn giản liệu DNSSEC đã được công bố đúng và được tin cậy cho tên miền của bạn.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.