Systém názvů domén (DNS) převádí názvy domén ve formátu čitelném pro uživatele, jako je například google.com, do podoby strojově čitelné IP adresy webu, například 172.217.3.206. Pokud chcete zabránit hrozbám pro vaši doménu, jako jsou cache poisoning nebo DNS spoofing, nastavte si bezpečnostní rozšíření DNS (DNSSEC).
Zapnutí DNSSEC na vaší doméně
Důležité:
- Některé domény nejvyšší úrovně přijímají záznamy DNS Public Key (DNSKEY) místo záznamů Delegation Signer (DS).
- Pokud jste si doménu zakoupili prostřednictvím služby Google Domains, možná už máte rozšíření DNSSEC nastaveno.
- Pokud má vaše doména záznam ALIAS, nemůžete povolit DNSSEC. Další informace o záznamech ALIAS
Pokud chcete u své domény nastavit DNSSEC, musíte do DNS nebo do podpisové zóny přidat konkrétní záznamy zdrojů a publikovat je u své domény. Pokud použijete automatické nastavení DNSSEC služby Google Domains, oba kroky obstaráme za vás. Může trvat až 24 hodin, než se změny projeví na internetu a než bude rozšíření DNSSEC aktivní.
- Přihlaste se do služby Google Domains.
- Vyberte svou doménu.
- Vlevo nahoře klikněte na DNS.
- Vyberte buď Výchozí názvové servery, nebo Vlastní názvové servery.
- Přejděte na kartu nebo do pole DNSSEC.
- Pro výchozí názvové servery: Klikněte na Zapnout. Pokud už je rozšíření DNSSEC zapnuto, zobrazuje se označení DNSSEC je aktivováno.
- Pro vlastní názvové servery: Klikněte na Spravovat záznamy DS a zadejte informace od poskytovatele DNS.
- Zadejte hodnoty, které vám poskytl váš externí poskytovatel DNS pro DNSSEC nebo DNSKEY vlastního názvového serveru.
- Pokud chcete přidat několik záznamů najednou, klikněte na možnost Vytvořit nový záznam.
- Klikněte na Uložit.
Tipy:
- Pokud se rozhodnete, že nechcete čekat na publikování záznamů DNSKEY, rozbalte pod položkou DNSSEC kartu DNSSEC a klikněte na Zveřejnit záznamy.
- Když zapnete rozšíření DNSSEC, služba Google Domains vaši zónu DNS automaticky podepíše a do dvou hodin publikuje vaše záznamy Delegation Signer (DS).
Pokud používáte vlastní názvové servery, musíte podpis zóny DNS vaší domény provést ve spolupráci se svým poskytovatelem DNS. U každého klíče DNSKEY získejte od svého poskytovatele DNS tyto hodnoty:
- Značka klíče: Řetězec číslic, který označuje stávající záznam DNSKEY.
- Algoritmus: Šifrovací algoritmus, který vytváří bezpečnostní klíč záznamu DNSKEY. Obvykle spárovaný s hashovací funkcí, například RSA/SHA1.
- Typ výtahu: Algoritmus vytvářející výtah záznamu DNSKEY. Také se nazývá výtahový algoritmus, výtahový hash nebo funkce výtahového hashe.
- Výtah: Hodnota hashe záznamu DNSKEY, která je jeho jedinečným identifikátorem a neodhaluje hodnotu klíče. Podle typu výtahu může mít délku:
- SHA1: 40 hexadecimálních číslic
- SHA256: 64 hexadecimálních číslic
- SHA384: 96 hexadecimálních číslic
Pokud používáte vlastní názvové servery, obraťte se na svého poskytovatele DNS třetí strany a přihlaste se do DNS zón vaší domény. U každého klíče DNSKEY získejte od svého poskytovatele DNS tyto hodnoty:
- Příznaky: Informace, které umožňují DNS a překladačům poznat, jak interpretovat záznam DNSKEY. Ve výchozím nastavení je tato hodnota nastavena na 256 nebo 257.
- Protokol: Označuje použitou verzi DNSSEC. Tato hodnota je vždy nastavena na 3.
- Algoritmus: Udává typ kryptografického algoritmu, který se používá pro dvojice veřejných či soukromých klíčů.
- Veřejný klíč: Klíč, který resolvery DNS používají k ověření záznamů DNS.
Deaktivace rozšíření DNSSEC u domény
- Přihlaste se do služby Google Domains.
- Vyberte svou doménu.
- Vyberte nabídku DNS.
- Přejděte na kartu nebo do pole DNSSEC.
- Pro výchozí názvové servery: Vyberte možnost Vypnout.
- Pro vlastní názvové servery: Vedle jednotlivých záznamů klikněte na Smazat .
- Vyberte možnost Uložit.
Tipy:
- Pokud chcete u vlastních názvových serverů odebrat ze zóny záznamy zdrojů související s DNSSEC, můžete se obrátit na svého poskytovatele DNS.
- Jakmile rozšíření DNSSEC vypnete, služba Google Domains okamžitě zruší publikování záznamů DS vaší domény. Až se změna projeví na celém internetu, přestane být vaše doména chráněna rozšířením DNSSEC. Tento proces může trvat až 48 hodin. K dokončení deaktivace DNSSEC může Google Domains odhlásit vaši DNS zónu.
Používání dynamických záznamů DNS
Důležité: Dynamické záznamy DNS fungují s adresami IPv4 a IPv6, ale ne současně.
Dynamické záznamy DNS umožňují přesměrování domény nebo subdomény na zdroj, který se nachází za bránou s dynamicky přiřazovanou IP adresou. Pokud chcete používat dynamické záznamy DNS, musíte použít výchozí názvové servery Google Domains.
Pokud nastavujete dynamické záznamy DNS ve službě Google Domains, máte následující možnosti:
- Pro svou doménu nebo subdoménu můžete vytvořit záznam A nebo AAAA, díky kterému budou názvové servery Google očekávat dynamickou IP adresu.
- Můžete vygenerovat uživatelské jméno a heslo, které váš hostitel nebo server použije při sdělování nové IP adresy názvovým serverům Google.
Po nastavení dynamických záznamů DNS si musíte u hostitele, serveru nebo brány nastavit klientský program, který:
- zjišťuje změny IP adres,
- používá vygenerované uživatelské jméno a heslo,
- sděluje novou adresu názvovým serverům Google.
Nastavení dynamických záznamů DNS
- Na počítači se přihlaste do služby Google Domains.
- Vyberte svou doménu.
- Klikněte na nabídku DNS.
- Vyberte možnost Výchozí názvové servery Google Domains (aktivní).
- Pokud je vybrána možnost Vlastní názvové servery (aktivní), znamená to, že již vlastní názvové servery máte a službu dynamických záznamů DNS služby Google Domains není možné použít.
- Klikněte na Zobrazit rozšířená nastavení.
- Klikněte na možnost Spravovat dynamické záznamy DNS Vytvořit nový záznam.
- Pokud chcete přidělit dynamickou IP adresu, zadejte název subdomény nebo kořenové domény.
- Klikněte na Uložit.
Níže uvádíme několik dalších možností pro správu dynamických záznamů DNS:
- Pokud si chcete zobrazit hodnoty záznamu: Vedle záznamu klikněte na trojúhelník.
- Uživatelské jméno a heslo vytvořené pro tento záznam zobrazíte kliknutím na možnost Zobrazit identifikační údaje.
- Pro konfiguraci brány nebo klientského softwaru pro komunikaci s názvovými servery Google použijte uživatelské jméno a heslo vytvořené pro daný záznam.
- Smazání záznamu:
- Přejděte na Záznamy zdrojů.
- Klikněte na šipku vedle položky Dynamické záznamy DNS.
- Použijte Smazat.
Nastavení klientského programu u brány, hostitele nebo serveru
K dispozici je řada oblíbených klientů pro dynamické záznamy DNS, například DDclient nebo INADYN. Většina routerů dokáže rozpoznat změny IP adresy a integrovat je s názvovými servery pomocí vestavěného softwaru.
Klienta pro dynamické záznamy DNS nakonfigurujte takto:
- Poskytovatel, DNS nebo Služba: Název vašeho poskytovatele DNS.
- Uživatelské jméno nebo identifikační údaje: Vygenerované uživatelské jméno z dynamického záznamu DNS.
- Heslo nebo identifikační údaje: Vygenerované heslo z dynamického záznamu DNS.
Po vytvoření záznamu a konfiguraci klientského softwaru záznam otestujte. Zadejte subdoménu a doménu do webového prohlížeče nebo příslušného klienta a zkontrolujte, zda se připojí ke správnému zdroji.
Tip: Služba Google Domains používá protokol dyndns2.
Příklady
Software DDclient nyní nabízí podporu služby Google Domains.
DDclient s podporou služby Google Domains |
Záznamy ddclient.conf:
|
Příklady obecné konfigurace klienta:
DDclient bez podpory Google Domains |
INADYN |
Ukázkové záznamy ddclient.conf:
|
Do souboru inadyn.conf přidejte tyto položky:
|
Aktualizace dynamických záznamů DNS pomocí rozhraní API
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomena.vasedomena.com&myip=1.2.3.4
Nastavení user-agenta
Důležité: V požadavku musíte nastavit i user-agenta.
Během testování s adresou URL uvedenou výše, domains.google.com/nic/update
vám webové prohlížeče obvykle přidají user-agenta. Konečný dotaz HTTP odeslaný na naše servery by měl vypadat asi takto:
Příklad dotazu HTTP:
POST /nic/update?hostname=subdomena.vasedomena.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 vas_email@vasedomena.com
Parametry požadavku:
Parametr | Povinný nebo nepovinný | Popis |
username:password |
Povinný | Vygenerované uživatelské jméno a heslo přiřazené k hostiteli, kterého chcete aktualizovat. |
hostname |
Povinný | Hostitel, kterého chcete aktualizovat. |
myip |
|
IP adresa, na kterou je hostitel nastaven. Pokud IP adresu neuvedete, použijeme adresu zástupce, který požadavek zaslal.
Důležité: Pokud váš zástupce používá adresu IPv6, je údaj |
offline |
Nepovinný | Nastaví u aktuálního hostitele stav offline. Pokud je u hostitele ve stavu offline proveden požadavek na aktualizaci, hostitel je ze stavu offline odebrán. Povolené hodnoty jsou:
|
Po zpracování požadavku bude vrácena jedna z následujících odpovědí.
Důležité: Dbejte na to, abyste odpověď interpretovali správně. V opačném případě se může stát, že vašemu klientovi bude přístup k našim systémům zablokován.
Odpověď | Stav | Popis |
good {IP adresa uživatele} |
Úspěšně provedeno | Aktualizace byla úspěšná. Dokud nebude vaše IP adresa změněna, neprovádějte další aktualizaci. |
nochg {IP adresa uživatele} |
Úspěšně provedeno | Vámi zadaná IP adresa je již u tohoto hostitele nastavena. Dokud nebude vaše IP adresa změněna, neprovádějte další aktualizaci. |
nohost |
Chyba | Hostitel s tímto názvem neexistuje, nebo nemá aktivní dynamické záznamy DNS. |
badauth |
Chyba | Kombinace uvedeného uživatelského jména a hesla není u daného hostitele platná. |
notfqdn |
Chyba | Uvedený název hostitele není platný plně kvalifikovaný název domény. |
badagent |
Chyba | Váš klient pro dynamické záznamy DNS zasílá nesprávné požadavky. Ujistěte se, že je zástupce nastaven v požadavku. |
abuse |
Chyba | Přístup dynamických záznamů DNS byl u daného hostitele zablokován, protože předchozí odpovědi nebyly správně interpretovány. |
911 |
Chyba | Chyba na naší straně. Vyčkejte pět minut a pokus zopakujte. |
konflikt A |
Chyba | Vlastní záznam zdroje A nebo AAAA je v konfliktu s aktualizací. Na stránce nastavení DNS smažte uvedený záznam zdroje a znovu aktualizujte. |