ตั้งค่า DNSSEC และความปลอดภัยของ DNS

ระบบชื่อโดเมน (DNS) จะแปลชื่อโดเมนที่มนุษย์อ่านได้ เช่น google.com เป็นที่อยู่ IP ที่เครื่องอ่านได้ของเว็บไซต์ เช่น 172.217.3.206 หากต้องการป้องกันภัยคุกคามต่อโดเมนของคุณ เช่น การโจมตีแบบ Cache Poison และการปลอมแปลง DNS ให้ตั้งค่าส่วนขยายความปลอดภัยของ DNS (DNSSEC)

เปิด DNSSEC สำหรับโดเมนของคุณ

สำคัญ

โดเมนระดับบนสุด (TLD) บางโดเมนยอมรับระเบียนคีย์สาธารณะ DNS (DNSKEY) แทนระเบียน Delegation Signer (DS)
หากซื้อชื่อโดเมนจาก Google Domains ตั้งแต่แรก ระบบอาจตั้งค่า DNSSEC ให้คุณแล้ว
หากโดเมนของคุณมีระเบียน ALIAS คุณจะเปิดใช้ DNSSEC ไม่ได้ ดูข้อมูลเพิ่มเติมเกี่ยวกับระเบียน ALIAS

หากต้องการตั้งค่า DNSSEC สำหรับโดเมน คุณต้องเพิ่มระเบียนทรัพยากรเฉพาะสำหรับ DNS หรือเพิ่มลายเซ็นลงในโซน แล้วเผยแพร่สำหรับโดเมนของคุณ หากคุณใช้การตั้งค่า DNSSEC อัตโนมัติของ Google Domains เราจะจัดการทั้ง 2 ขั้นตอนให้คุณ ระบบอาจใช้เวลาถึง 24 ชั่วโมงในการอัปเดตการเปลี่ยนแปลงทั่วทั้งอินเทอร์เน็ตก่อน DNSSEC จึงจะใช้งานได้

ลงชื่อเข้าใช้ Google Domains
เลือกโดเมนของคุณ
ที่ด้านบนซ้าย ให้เลือกเมนู DNS
เลือกเนมเซิร์ฟเวอร์เริ่มต้นหรือเนมเซิร์ฟเวอร์ที่กำหนดเอง
เลื่อนไปที่การ์ดหรือช่อง "DNSSEC"
- สำหรับเนมเซิร์ฟเวอร์เริ่มต้น ให้คลิกเปิด ระบบจะแสดง "เปิดใช้ DNSSEC อยู่" หากมีการเปิด DNSSEC อยู่แล้ว
- สำหรับเนมเซิร์ฟเวอร์ที่กำหนดเอง ให้คลิกจัดการระเบียน DS แล้วป้อนข้อมูลจากผู้ให้บริการ DNS
  1. ป้อนค่าที่ผู้ให้บริการ DNS บุคคลที่สามมอบให้สำหรับ DNSSEC หรือ DNSKEY ของเนมเซิร์ฟเวอร์ที่กำหนดเอง
  2. หากต้องการเพิ่มระเบียนหลายรายการพร้อมกัน ให้คลิกสร้างระเบียนใหม่
  3. คลิกบันทึก

เคล็ดลับ

หากไม่ต้องการรอให้มีการเผยแพร่ระเบียน DNSKEY ให้ขยายการ์ด DNSSEC แล้วคลิกเผยแพร่ระเบียนเลยในส่วน "DNSSEC"
เมื่อเปิด DNSSEC แล้ว Google Domains จะเพิ่มลายเซ็นลงในโซน DNS โดยอัตโนมัติและเผยแพร่ระเบียน Delegation Signer (DS) ภายใน 2 ชั่วโมง

ค่าที่จำเป็นสำหรับ DNSSEC ของเนมเซิร์ฟเวอร์ที่กำหนดเอง

หากใช้เนมเซิร์ฟเวอร์ที่กำหนดเอง คุณต้องทำงานร่วมกับผู้ให้บริการ DNS บุคคลที่สามเพื่อเพิ่มลายเซ็นลงในโซน DNS สำหรับโดเมนของคุณ สำหรับ DNSKEY แต่ละรายการ คุณจะรับค่าต่อไปนี้ได้จากผู้ให้บริการ DNS

แท็กคีย์: ค่าตัวเลขที่อ้างถึงระเบียน DNSKEY ที่มีอยู่
อัลกอริทึม: อัลกอริทึมการเข้ารหัสที่สร้างคีย์ความปลอดภัยในระเบียน DNSKEY ซึ่งโดยปกติแล้วจะจับคู่กับฟังก์ชันแฮช เช่น RSA/SHA1
ประเภทไดเจสต์: อัลกอริทึมที่สร้างไดเจสต์ของระเบียน DNSKEY หรือเรียกว่าอัลกอริทึมสำหรับไดเจสต์ แฮชสำหรับไดเจสต์ หรือฟังก์ชันแฮชสำหรับไดเจสต์
ไดเจสต์: ค่าที่แฮชของระเบียน DNSKEY ซึ่งระบุได้ไม่ซ้ำกันและไม่เปิดเผยค่าของคีย์ ความยาวจะแตกต่างกันไปตามประเภทของไดเจสต์ ดังนี้
- SHA1: เลขฐานสิบหก 40 หลัก
- SHA256: เลขฐานสิบหก 64 หลัก
- SHA384: เลขฐานสิบหก 96 หลัก

ค่าที่จำเป็นสำหรับ DNSKEY ของเนมเซิร์ฟเวอร์ที่กำหนดเอง

หากใช้เนมเซิร์ฟเวอร์ที่กำหนดเอง โปรดติดต่อผู้ให้บริการ DNS บุคคลที่สามเพื่อลงชื่อเข้าใช้โซน DNS ของโดเมน สำหรับ DNSKEY แต่ละรายการ คุณจะรับค่าต่อไปนี้ได้จากผู้ให้บริการ DNS

แฟล็ก: ข้อมูลที่แจ้งให้ DNS และรีโซลเวอร์ทราบเกี่ยวกับวิธีตีความระเบียน DNSKEY โดยค่าเริ่มต้น ค่านี้จะตั้งไว้ที่ 256 หรือ 257
โปรโตคอล: ระบุเวอร์ชันของ DNSSEC ที่ใช้ ค่านี้จะตั้งไว้ที่ 3 เสมอ
อัลกอริทึม: ระบุประเภทของอัลกอริทึมการเข้ารหัสที่ใช้สำหรับคู่คีย์สาธารณะหรือส่วนตัว
คีย์สาธารณะ: คีย์ที่รีโซลเวอร์ DNS ใช้เพื่อตรวจสอบความถูกต้องของระเบียน DNS ที่ยังไม่มีการปรับเปลี่ยน

ปิดใช้งาน DNSSEC สำหรับโดเมนของคุณ

ลงชื่อเข้าใช้ Google Domains
เลือกโดเมนของคุณ
เลือกเมนู DNS
เลื่อนไปที่การ์ดหรือช่อง "DNSSEC"
- สำหรับเนมเซิร์ฟเวอร์เริ่มต้น ให้เลือกปิด
- สำหรับเนมเซิร์ฟเวอร์ที่กำหนดเอง: ให้คลิก "ลบ" ข้างระเบียนแต่ละรายการ
เลือกบันทึก

เคล็ดลับ

สำหรับเนมเซิร์ฟเวอร์ที่กำหนดเอง คุณสามารถนำระเบียนทรัพยากรที่เกี่ยวข้องกับ DNSSEC ออกจากโซนได้ด้วยการทำงานร่วมกับผู้ให้บริการ DNS
เมื่อปิด DNSSEC แล้ว Google Domains จะยกเลิกการเผยแพร่ระเบียน DS ของโดเมนทันที หลังจากที่ระบบอัปเดตการเปลี่ยนแปลงดังกล่าวทั่วทั้งอินเทอร์เน็ตแล้ว โดเมนของคุณจะไม่ได้รับการปกป้องโดย DNSSEC อีกต่อไป ซึ่งอาจใช้เวลาถึง 48 ชั่วโมง Google Domains อาจยกเลิกลายเซ็นในโซน DNS เพื่อปิดใช้งาน DNSSEC ให้เสร็จสมบูรณ์

ใช้ DNS แบบไดนามิก

สำคัญ: DNS แบบไดนามิกใช้ได้กับที่อยู่ IPv4 และ IPv6 แต่จะใช้พร้อมกันไม่ได้

DNS แบบไดนามิกช่วยให้คุณกำหนดเส้นทางโดเมนหรือโดเมนย่อยไปยังทรัพยากรที่อยู่เบื้องหลังเกตเวย์และมีที่อยู่ IP ที่กำหนดแบบไดนามิกได้ หากต้องการใช้ DNS แบบไดนามิก คุณต้องใช้เนมเซิร์ฟเวอร์เริ่มต้นของ Google Domains

หากตั้งค่า DNS แบบไดนามิกกับ Google Domains คุณจะทำสิ่งต่อไปนี้ได้

สร้างระเบียน A หรือ AAAA สำหรับโดเมนหรือโดเมนย่อยที่ทำให้เนมเซิร์ฟเวอร์ของ Google รอ IP แบบไดนามิก
สร้างชื่อผู้ใช้และรหัสผ่านที่โฮสต์หรือเซิร์ฟเวอร์ของคุณสามารถใช้สื่อสารที่อยู่ IP ใหม่ไปยังเนมเซิร์ฟเวอร์ของ Google

หลังจากตั้งค่า DNS แบบไดนามิกแล้ว คุณต้องตั้งค่าโปรแกรมไคลเอ็นต์ในโฮสต์ เซิร์ฟเวอร์ หรือเกตเวย์ที่ดำเนินการดังต่อไปนี้

ตรวจจับการเปลี่ยนแปลงที่อยู่ IP
ใช้ชื่อผู้ใช้และรหัสผ่านที่สร้างขึ้น
สื่อสารที่อยู่ใหม่ไปยังเนมเซิร์ฟเวอร์ของ Google

ตั้งค่า DNS แบบไดนามิก

ลงชื่อเข้าใช้ Google Domains ในคอมพิวเตอร์
เลือกโดเมนของคุณ
คลิกเมนู DNS
เลือกเนมเซิร์ฟเวอร์เริ่มต้นของ Google Domains (ใช้งานอยู่)

หากเลือก "เนมเซิร์ฟเวอร์ที่กำหนดเอง (ใช้งานอยู่)" ไว้ หมายความว่าคุณมีเนมเซิร์ฟเวอร์ที่กำหนดเองอยู่แล้วและจะใช้บริการ DNS แบบไดนามิกของ Google Domains ไม่ได้

คลิกแสดงการตั้งค่าขั้นสูง
คลิกจัดการ DNS แบบไดนามิก สร้างระเบียนใหม่
หากต้องการกำหนด IP แบบไดนามิก ให้ป้อนชื่อของโดเมนย่อยหรือโดเมนราก
คลิกบันทึก

ตัวเลือกอื่นๆ ในการจัดการ DNS แบบไดนามิกมีดังนี้

หากต้องการดูค่าระเบียน ให้คลิกสามเหลี่ยมถัดจากระเบียน
หากต้องการดูชื่อผู้ใช้และรหัสผ่านที่สร้างขึ้นสำหรับระเบียน ให้คลิกดูข้อมูลเข้าสู่ระบบ
หากต้องการกำหนดค่าเกตเวย์หรือซอฟต์แวร์ไคลเอ็นต์เพื่อให้ติดต่อเนมเซิร์ฟเวอร์ของ Google ให้ใช้ชื่อผู้ใช้และรหัสผ่านที่สร้างขึ้นสำหรับระเบียน
วิธีลบระเบียน
1. ไปที่ "ระเบียนทรัพยากร"
2. คลิกสามเหลี่ยมถัดจาก "DNS แบบไดนามิก"
3. เลือกลบ

ตั้งค่าโปรแกรมไคลเอ็นต์บนเกตเวย์ โฮสต์ หรือเซิร์ฟเวอร์

มีการใช้งานไคลเอ็นต์ DNS แบบไดนามิกที่ได้รับความนิยมหลายรายการ เช่น DDclient และ INADYN เราเตอร์ส่วนใหญ่สามารถตรวจจับการเปลี่ยนแปลง IP และสื่อสารการเปลี่ยนแปลงดังกล่าวกับเนมเซิร์ฟเวอร์ผ่านซอฟต์แวร์ในตัวได้

กำหนดค่าไคลเอ็นต์ DNS แบบไดนามิกด้วยสิ่งต่อไปนี้

ผู้ให้บริการหรือ DNS หรือบริการ: ชื่อผู้ให้บริการ DNS ของคุณ
ชื่อผู้ใช้หรือข้อมูลเข้าสู่ระบบ: ชื่อผู้ใช้ที่สร้างขึ้นในระเบียน DNS แบบไดนามิก
รหัสผ่านหรือข้อมูลเข้าสู่ระบบ: รหัสผ่านที่สร้างขึ้นในระเบียน DNS แบบไดนามิก

โปรดทดสอบระเบียนหลังจากที่สร้างระเบียนและกำหนดค่าซอฟต์แวร์ไคลเอ็นต์แล้ว โดยป้อนโดเมนย่อยและโดเมนลงในเบราว์เซอร์หรือไคลเอ็นต์ที่เหมาะสม และตรวจสอบว่ามีการเชื่อมต่อกับทรัพยากรที่ถูกต้องหรือไม่

เคล็ดลับ: Google Domains ใช้โปรโตคอล dyndns2

ตัวอย่าง

DDclient มีการสนับสนุนสำหรับ Google Domains แล้วในตอนนี้

DDclient ที่มีการสนับสนุน Google Domains

รายการ ddclient.conf:

ssl=yes

protocol=googledomains

login=generated_username

password=generated_password

your_resource.your_domain.tld

ตัวอย่างการกำหนดค่าไคลเอ็นต์ทั่วไปมีดังนี้

DDclient
ที่ไม่มีการสนับสนุน Google Domains INADYN

ตัวอย่างรายการ ddclient.conf:

protocol=dyndns2

use=web

server=domains.google.com

ssl=yes

login=generated_username

password=generated_password

your_resource.your_domain.tld

เพิ่มรายการต่อไปนี้ลงใน inadyn.conf ของคุณ

ระบบ default@domains.google.com

ชื่อผู้ใช้ generated_username

รหัสผ่าน generated_password

alias sub.domain.tld

อัปเดตระเบียน DNS แบบไดนามิกด้วย API

ซอฟต์แวร์ไคลเอ็นต์ DNS แบบไดนามิกจะอัปเดตระเบียน DNS แบบไดนามิกของคุณโดยอัตโนมัติ คุณดำเนินการอัปเดต API ด้วยตนเองได้โดยการส่งคำขอ POST หรือ GET ไปยัง URL ต่อไปนี้

domains.google.com/nic/update

API ต้องใช้ HTTPS ตัวอย่างคำขอมีดังนี้

https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4

ตั้งค่า User Agent

สำคัญ: คุณต้องตั้งค่า User Agent ในคำขอด้วย

ระหว่างการทดสอบกับ URL ข้างต้นโดยตรง domains.google.com/nic/update เว็บเบราว์เซอร์มักจะเพิ่ม User Agent ให้คุณ คำขอ HTTP สุดท้ายที่ส่งไปยังเซิร์ฟเวอร์ของเราควรมีลักษณะดังนี้

ตัวอย่างคำขอ HTTP

POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1

      Host: domains.google.com

      Authorization: Basic base64-encoded-auth-string

      User-Agent: Chrome/41.0 your_email@yourdomain.com

พารามิเตอร์คำขอ

พารามิเตอร์	ต้องระบุหรือไม่บังคับ	รายละเอียด
`username:password`	ต้องระบุ	ชื่อผู้ใช้และรหัสผ่านที่สร้างขึ้น ซึ่งเชื่อมโยงกับโฮสต์ที่จะอัปเดต
`hostname`	ต้องระบุ	ชื่อโฮสต์ที่จะอัปเดต
`myip`	ไม่บังคับสำหรับ IPv4 ต้องระบุหากคุณมีที่อยู่ IPv6	ที่อยู่ IP ที่ตั้งค่าโฮสต์ หากไม่ระบุ เราจะใช้ IP ของตัวแทนที่ส่งคำขอ สำคัญ: ต้องระบุ `myip` หากตัวแทนใช้ที่อยู่ IPv6 คุณตรวจสอบที่อยู่ IP ของตัวแทนได้ที่ https://domains.google.com/checkip
`offline`	ไม่บังคับ	ตั้งค่าโฮสต์ปัจจุบันให้มีสถานะออฟไลน์ หากคำขออัปเดตดำเนินการบนโฮสต์ออฟไลน์ ระบบจะนำโฮสต์ออกจากสถานะออฟไลน์ ค่าที่ใช้ได้คือ `yes` `no`

หลังจากประมวลผลคำขอแล้ว ระบบจะแสดงการตอบกลับอย่างใดอย่างหนึ่งต่อไปนี้

สำคัญ: โปรดตรวจสอบว่าคุณตีความการตอบกลับอย่างถูกต้อง ไม่เช่นนั้น คุณมีความเสี่ยงที่จะบล็อกไคลเอ็นต์ของคุณจากระบบของเรา

คำตอบ	สถานะ	รายละเอียด
`good {user’s IP address}`	สำเร็จ	การอัปเดตสำเร็จ คุณไม่ควรพยายามทำการอัปเดตอื่นจนกว่าที่อยู่ IP ของคุณเปลี่ยนแปลง
`nochg {user’s IP address}`	สำเร็จ	ที่อยู่ IP ที่ระบุได้รับการตั้งค่าสำหรับโฮสต์นี้แล้ว คุณไม่ควรพยายามทำการอัปเดตอื่นจนกว่าที่อยู่ IP ของคุณเปลี่ยนแปลง
`nohost`	ข้อผิดพลาด	ไม่มีชื่อโฮสต์อยู่หรือไม่ได้เปิดใช้ DNS แบบไดนามิก
`badauth`	ข้อผิดพลาด	การผสมรวมชื่อผู้ใช้/รหัสผ่านไม่ถูกต้องสำหรับโฮสต์ที่ระบุ
`notfqdn`	ข้อผิดพลาด	ชื่อโฮสต์ที่ระบุไม่ใช่ชื่อโดเมนที่สมบูรณ์ในตัวเองที่ถูกต้อง
`badagent`	ข้อผิดพลาด	ไคลเอ็นต์ DNS แบบไดนามิกของคุณส่งคำขอที่ไม่ถูกต้อง โปรดตรวจสอบว่ามีการตั้งค่า User Agent ในคำขอแล้ว
`abuse`	ข้อผิดพลาด	การเข้าถึง DNS แบบไดนามิกสำหรับชื่อโฮสต์ถูกบล็อก เนื่องจากมีการตีความการตอบกลับก่อนหน้านี้อย่างไม่ถูกต้อง
`911`	ข้อผิดพลาด	เกิดข้อผิดพลาดทางฝั่งของเรา โปรดรอ 5 นาทีแล้วลองอีกครั้ง
`conflict A conflict AAAA`	ข้อผิดพลาด	ระเบียนทรัพยากร A หรือ AAAA ที่กำหนดเองขัดแย้งกับการอัปเดต โปรดลบระเบียนทรัพยากรที่ระบุในหน้าการตั้งค่า DNS แล้วลองอัปเดตอีกครั้ง