Defaults.Exposed › Cài đặt › DNSSEC

Cách thiết lập DNSSEC trên Namecheap

Bật DNSSEC trong Namecheap để không ai có thể giả mạo câu trả lời DNS của bạn và chuyển hướng khách truy cập hoặc email của bạn.

Tại sao điều này quan trọng với doanh nghiệp của bạn

Mỗi khi ai đó mở website của bạn hoặc gửi email cho bạn, máy tính của họ hỏi hệ thống DNS xem tìm bạn ở đâu. Những câu trả lời đó thường truyền đi mà không được ký, vì vậy kẻ tấn công có thể can thiệp vào tra cứu đó, âm thầm gửi khách truy cập của bạn đến một trang giả mạo hoặc chuyển hướng email của bạn đến máy chủ của chúng — trong khi tên miền thật của bạn vẫn xuất hiện trên thanh địa chỉ.

DNSSEC đóng cửa đó lại. Nó ký điện tử vào các câu trả lời DNS của bạn, để bất kỳ ai tra cứu bạn đều có thể xác nhận câu trả lời thực sự đến từ bạn và không bị giả mạo trên đường. Nói đơn giản: nó ngăn chiếm quyền tên miền và đầu độc bộ nhớ cache, các cuộc tấn công vũ khí hóa tên miền của bạn chống lại khách hàng của bạn. Miễn phí, và khi Namecheap quản lý DNS của bạn, gần như chỉ là một cú nhấp.

DNSSEC hoạt động thế nào (và tại sao Namecheap có thể đơn giản)

DNSSEC có hai nửa: nhà cung cấp DNS ký các bản ghi của bạn và công bố các khóa (DNSKEY) cùng một dấu vân tay nhỏ gọi là bản ghi DS, và nhà đăng ký đăng ký bản ghi DS đó trong zone cha để phần còn lại của internet tin tưởng các chữ ký.

Khi Namecheap là cả nhà đăng ký và nhà cung cấp DNS của bạn — tức là tên miền dùng Namecheap BasicDNS / PremiumDNS — Namecheap xử lý cả hai nửa bằng một công tắc duy nhất. Nó ký zone và công bố bản ghi DS lên chuỗi cho bạn. Khi DNS của bạn được lưu trữ ở nơi khác, bạn thay vào đó sao chép bản ghi DS từ nhà cung cấp đó vào Namecheap bằng tay.

Rủi ro thực sự — làm theo thứ tự này

DNSSEC có thể đưa tên miền của bạn ngoại tuyến nếu thiết lập sai. Hai cách điều đó xảy ra:

• Bản ghi DS đăng ký tại nhà đăng ký không khớp với những gì nhà cung cấp DNS đang thực sự ký.
• Chuyển DNS sang nhà cung cấp khác (hoặc tắt ký) mà không xóa bản ghi DS trước — bản ghi DS cũ tiếp tục đòi hỏi chữ ký không còn tồn tại, và các tra cứu thất bại.

Vì vậy: nếu bạn dự định chuyển DNS khỏi Namecheap, hoặc khỏi nameservers của Namecheap, hãy vô hiệu hóa DNSSEC và xóa bản ghi DS trước, rồi mới chuyển. Tuân theo quy trình bên dưới theo thứ tự và bạn sẽ an toàn.

Xác nhận Namecheap đang quản lý DNS của bạn

Kiểm tra điều gì đang trả lời DNS cho tên miền của bạn. Trong tài khoản Namecheap, mở tên miền và xem cài đặt Nameservers trong tab Domain:

• Nếu được đặt thành Namecheap BasicDNS hoặc Namecheap Web Hosting DNS / PremiumDNS, Namecheap lưu trữ DNS của bạn — dùng quy trình một cú nhấp.
• Nếu hiển thị Custom DNS trỏ đến nhà cung cấp khác, nhà cung cấp đó lưu trữ DNS của bạn — bật DNSSEC ở đó trước, sau đó thêm bản ghi DS mà họ cung cấp vào Namecheap.

Hướng dẫn từng bước trên Namecheap (Namecheap là nhà đăng ký và nhà cung cấp DNS)

1. Đăng nhập vào Namecheap.
2. Vào Domain List và nhấp Manage bên cạnh tên miền của bạn.
3. Mở tab Advanced DNS.
4. Cuộn xuống phần DNSSEC.
5. Chuyển DNSSEC sang on.
6. Xác nhận. Với DNS của Namecheap, Namecheap ký zone và công bố bản ghi DS lên chuỗi cho bạn — không cần sao chép gì sang nơi khác.

Hướng dẫn khi DNS được lưu trữ ở nơi khác

Nếu Namecheap là nhà đăng ký của bạn nhưng công ty khác lưu trữ DNS:

1. Bật DNSSEC tại nhà cung cấp DNS của bạn trước và sao chép các giá trị bản ghi DS mà họ tạo ra — thông thường Key Tag, Algorithm, Digest Type, và Digest.
2. Trong Namecheap, mở tên miền và vào tab Advanced DNS, sau đó phần DNSSEC.
3. Thêm bản ghi DS và nhập chính xác các giá trị từ nhà cung cấp DNS của bạn vào các trường tương ứng.
4. Lưu. Bản ghi DS bây giờ được đăng ký trong zone cha, hoàn thành chuỗi tin cậy.

Những lỗi phổ biến với Namecheap

• Công tắc chỉ làm mọi thứ khi Namecheap cũng lưu trữ DNS của bạn. Trên Custom DNS, bật một mình là không đủ — bạn phải dán bản ghi DS từ nhà cung cấp DNS thực sự của bạn.
• Đừng ký đôi. Nếu nhà cung cấp DNS bên ngoài của bạn đã ký zone, bạn chỉ nhập bản ghi DS của họ vào Namecheap — bạn không bật thêm ký của chính Namecheap.
• Sao chép các giá trị DS từng ký tự. Một chữ số sai trong Digest có nghĩa là DS sẽ không khớp với các chữ ký — đây chính xác là thứ đưa tên miền ngoại tuyến. Dán, không bao giờ gõ lại.
• Khớp số algorithm và digest-type với những gì nhà cung cấp DNS của bạn báo cáo — đừng đoán.
• Vô hiệu hóa DNSSEC trước khi thay đổi nameservers. Chuyển nhà cung cấp DNS với bản ghi DS cũ còn đó là cách kinh điển để làm tên miền ngoại tuyến.
• Chờ một chút. Thay đổi có thể mất từ vài phút đến một ngày để lan truyền đầy đủ.

Xác minh thiết lập

Sau khi DNSSEC được bật (và bất kỳ bản ghi DS nào đã có mặt), hãy chạy kiểm tra miễn phí trên trang web này. Kết quả sẽ cho bạn biết bằng ngôn ngữ đơn giản liệu DNSSEC đã được công bố đúng và được tin cậy cho tên miền của bạn.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.