Konfigurowanie zabezpieczeń DNSSEC

Rozszerzenia zabezpieczeń systemu nazw domen (Domain Name System Security Extensions, DNSSEC) chronią domenę przed takimi zagrożeniami dla serwerów nazw domen, jak zatruwanie pamięci podręcznej DNS czy podszywanie się pod DNS.

Jak zmienić ustawienia DNSSEC

Sposób włączania DNSSEC zależy od tego, jak zostały skonfigurowane serwery nazw. Z przedstawionych poniżej sposobów wybierz ten, który odpowiada Twojej konfiguracji.

Zdecydowanie odradzamy zmienianie serwerów nazw przy włączonym DNSSEC. Jeżeli to zrobisz, Twoja domena może przestać być rozwiązywana.

Serwery nazw Google Domains

Jeśli korzystasz z serwerów nazw Google Domains, możesz włączyć zabezpieczenia DNSSEC jednym kliknięciem. Wykonaj te instrukcje:

  1. Zaloguj się w Google Domains.
  2. Wybierz nazwę swojej domeny.
  3. Otwórz menu Menu
  4. Kliknij DNS.
  5. Przewiń do „DNSSEC”.
  6. Kliknij Włącz DNSSEC lub Wyłącz DNSSEC, aby zmienić ustawienie domeny.

Po włączeniu DNSSEC pełna aktywacja tej funkcji trwa około dwóch godzin. Po jej wyłączeniu deaktywacja może zająć do dwóch dni.

Niestandardowe serwery nazw

Jeżeli korzystasz z niestandardowych serwerów nazw, koniecznie może być zwrócenie się do zewnętrznego dostawcy DNS, by skonfigurował DNSSEC w Twojej domenie. Musisz też aktywować DNSSEC w Google Domains. Postępuj zgodnie z tymi instrukcjami:
  1. Zidentyfikuj co najmniej jeden rekord DNSKEY, który Twój dostawca DNS utworzył dla Twojej domeny.
  2. Uzyskaj te wartości od swojego dostawcy DNS:
    • Tag klucza: wartość liczbowa odnosząca się do istniejącego rekordu DNSKEY.
    • Algorytm: algorytm szyfrowania, za pomocą którego utworzono klucz zabezpieczeń w rekordzie DNSKEY. Zazwyczaj połączony z funkcją skrótu, na przykład z RSA/SHA1.
    • Typ skrótu: algorytm użyty do utworzenia skrótu rekordu DNSKEY. Nazywany również „algorytmem skrótu” lub „funkcją skrótu”.
    • Skrót: zaszyfrowana wartość rekordu DNSKEY, która jednoznacznie identyfikuje go bez ujawniania wartości klucza. Jej długość zależy od typu skrótu:
      1. SHA1 – 40 cyfr szesnastkowych
      2. SHA256 – 64 cyfry szesnastkowe
      3. SHA384 – 96 cyfr szesnastkowych
  3. Dla każdego rekordu DNSKEY utwórz przynajmniej jeden rekord delegacji podpisywania (DS). Aby to zrobić:
    1. Zaloguj się w Google Domains.
    2. Wybierz nazwę swojej domeny.
    3. Otwórz menu Menu.
    4. Kliknij DNS.
    5. Przewiń do „DNSSEC”.
    6. Utwórz wpis, używając wartości uzyskanych w poprzednich krokach. 
Czy to było pomocne?
Jak możemy ją poprawić?