Tento průvodce níže ukazuje, jak povolit DNSSEC v cPanel a u vašeho registrátora domény, abyste se vyhnuli útokům typu man-in-the-middle, útokům cache jed a dalším typům padělků DNS.
Vzhledem k tomu, jak internet v současnosti definuje každý aspekt našeho života, je často snadné zapomenout, že systém doménových jmen (DNS), který tvoří jeho centrální jádro, je držen pohromadě pomocí kanálů a pásek.
Když byl DNS navržen v 80. letech 20. století, byl internet mnohem menší a bezpečnost se nikdy nebrala v úvahu, protože si lidé v síti navzájem důvěřovali.
Svět se změnil.
Pokrok v technologii umožnil, aby se internet stal součástí struktury naší každodenní existence.
To vytvořilo příležitosti pro zneužití DNS, které zahrnují falšování DNS/otrávení mezipaměti, tunelování DNS, únos DNS, útok NXDOMAIN, útok na fantomovou doménu, útok CPE založený na botnetu a další.
Vezměte si situaci, kdy rekurzivní překladač odešle dotaz na autoritativní jmenný server.
Jak je tomu nyní, resolver nemá žádný způsob, jak ověřit pravost odpovědi.
Může pouze zkontrolovat, zda se zdá, že odpověď pochází ze stejné IP adresy, na kterou překladač odeslal původní dotaz, ale nemůže snadno detekovat podvrženou odpověď na jeden ze svých dotazů, pokud je přítomen.
Útočník se může snadno vydávat za autoritativní server, zmocnit se vyhledávání DNS a poslat uživatele na podvodnou webovou stránku, která šíří malware, nebo shromažďovat osobní údaje, aniž by si to uživatel uvědomoval.
Inženýři z Internet Engineering Task Force (IETF) (organizace odpovědná za standardy protokolu DNS ) věděli o této slabosti a hledali řešení.
Toto úsilí vyústilo v to, co dnes známe jako DNSSEC Security Extensions (DNSSEC ).
DNSSEC (navržený tak, aby byl zpětně kompatibilní) je sada rozšíření, která přidávají dodatečné zabezpečení protokolu DNS implementací hierarchické zásady digitálního podepisování napříč všemi vrstvami DNS.
Mezi jeho hlavní funkce patří, aby sloužil jako účinná ochrana proti útokům DNS spoofing … při správné implementaci.
Autentizace původu dat při ověřování požadavků DNS umožňuje překladači kryptograficky ověřit, že data, která obdržel, skutečně pocházela ze zóny, kde se domnívá, že data pocházejí.
A ochrana integrity dat umožňuje překladači vědět, že data nebyla při přenosu změněna, protože byla původně podepsána vlastníkem zóny soukromým klíčem zóny.
V souladu s naším slibem, že naši zákazníci vždy získají přístup k nejlepším a nejnovějším funkcím, které cPanel nabízí , s radostí oznamujeme, že nyní můžete povolit DNSSEC pro svou doménu na všech našich produkčních serverech cPanel.
Vytvořili jsme podrobný návod, jak to udělat na https://dashboard.webhostingmagic.com/knowledgebase/23/DNSSEC
Když jej povolíte, DNSSEC přidá vrstvu autentizace nad váš DNS, což vám poskytne způsob, jak se vyhnout všem těm problémům, které jsme zmínili výše.
V tuto chvíli není DNSSEC automatické.
Po vytvoření klíče v cPanel jej musíte konkrétně povolit vámi, vlastníkem názvu domény, na autoritativních serverech vaší zóny.
Proces se liší od každého registrátora, ale stejně jako můžete provádět jiné změny zóny (jako jsou autoritativní jmenné servery zóny ), můžete také aktualizovat materiál veřejného klíče zóny, abyste dokončili implementaci DNSSEC.
Na této stránce uvádíme některé z nejběžnějších registrátorů domén, které někteří naši zákazníci hostující jejich DNS mimo naše systémy používali.
Pokud vaše není uvedena, požádejte o pomoc tým podpory svého registrátora domény.
VELKÉ VAROVÁNÍ:NEIGNORUJTE TOTO VAROVÁNÍ
První otázka, kterou si opravdu musíte položit, je, mám povolit DNSSEC ?
Důvod, proč musíte na tuto otázku odpovědět, je ten, že povolení DNSSEC zásadně mění způsob, jakým se vztahujete nebo spravujete svou doménu a záznamy DNS.
Jakmile například povolíte DNSSEC pro svou doménu, nemůžete své jmenné servery chtě nechtě změnit.
Před změnou jmenných serverů musíte deaktivovat DNSSEC a počkat alespoň 72 hodin, než takové změny provedete.
Pokud tak neučiníte, může to mít za následek, že vaše doména nebude vyřešena.
Dalším příkladem je situace, kdy musíte převést název domény k jinému registrátorovi nebo poskytovateli webhostingových služeb.
Před inicializací přenosu musíte nejprve odstranit záznamy Domain Server (DS), počkat, až se změny projeví.
Pokud staré záznamy DS od registrátora neodstraníte, domény mohou způsobit problémy s rozlišením DNS kvůli neplatným odpovědím DNSSEC.
To je z cesty, níže jsou odkazy, které možná budete potřebovat k dokončení aktivace DNSSEC u vašeho registrátora domény.
| Registrátor | Pokyny |
| 123 Reg | Kontaktujte zákaznickou podporu svého registrátora a poskytněte mu data záznamu DS, která jste vygenerovali na Web Hosting Magic cPanel. |
| Jednoduché DNS | Použití Web Hosting Magic cPanel DNSSEC s DNSimple |
| sleva na doménu24 | DNSSEC |
| tečka | Kontaktujte zákaznickou podporu svého registrátora a poskytněte mu data záznamu DS, která jste vygenerovali na Web Hosting Magic cPanel. |
| DreamHost | Přehled DNSSEC V DreamHost použijte 2 jako Typ přehledu namísto SHA256 . |
| dynadot | Jak nastavím DNSSEC? |
| Enom | V době psaní tohoto článku výchozí jmenné servery společnosti Enon nepodporují vytváření příslušných záznamů prostředků pro vytvoření správného řetězce DNSSEC. Další informace naleznete v části Přidání DNSSEC k názvu domény |
| gandi | DNSSEC V gandi se ujistěte, že jste v rozevírací nabídce Algoritmus vybrali Algoritmus 13. |
| GoDaddy | Chcete-li nakonfigurovat záznam DS pomocí GoDaddy, proveďte následující kroky:
Přidat záznam DS |
| božská zóna | Kontaktujte zákaznickou podporu svého registrátora a poskytněte mu data záznamu DS, která jste vygenerovali na Web Hosting Magic cPanel. Ve webovém ovládacím panelu godzone možná budete moci přidat záznam DS pod Domény kartu. |
| Domény Google | Pokud používáte jmenné servery Google Domains, můžete DNSSEC zapnout jedním kliknutím. Postupujte podle těchto pokynů:
Když DNSSEC zapnete, trvá zhruba 2 hodiny, než se DNSSEC úplně aktivuje. Když jej vypnete, deaktivace může trvat až 2 dny. Pokud máte vlastní názvové servery, možná budete potřebovat poskytovatele DNS třetí strany pro konfiguraci DNSSEC pro vaši doménu. Kromě toho musíte aktivovat DNSSEC ve službě Google Domains. Postupujte podle následujících pokynů:
Google Cloud DNS a DNSSECPokud byla při vytváření DNS zóny povolena DNSSEC, vyberte DNSSEC na Zapnuto a klikněte na uložit. Google Cloud DNS vytvoří záznamy DNSSEC pro veřejné klíče (DNSKEY), podpisy (RRSIG) a neexistenci (NSEC nebo NSEC3 a NSEC3PARAM), aby ověřil obsah vaší zóny a automaticky jej spravoval. Jakmile bude tato akce provedena, je čas zabývat se částí Registrar. Klikněte na název zóny a poté na Nastavení registrátora vpravo nahoře pro zobrazení záznamů prostředků DNSSEC, které je třeba aktualizovat ve vaší doméně. Získáte tyto hodnoty, které budete potřebovat k zabezpečení názvu domény u svého registrátora.
|
| umístěte kurzor | Pochopení a správa DNSSEC |
| internet.bs | Kontaktujte zákaznickou podporu svého registrátora a poskytněte mu data záznamu DS, která jste vygenerovali na Web Hosting Magic cPanel. Možná budete moci přidat záznam DS:
|
| Joker.com | Podpora DNSSEC Na Joker.com použijte 2 jako Typ přehledu namísto SHA256 . |
| MarkMonitor | MarkMonitor podporuje ověřovací algoritmus 13 a automaticky implementuje protokol EPP (Extensive Provisioning Protocol) pro předávání záznamů DS do registru pro následující TLD: .com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re Chcete-li přidat záznam DS, zadejte data DS do DNSSEC Details panelu manažerského portálu MarkMonitor. |
| Moniker | Kontaktujte zákaznickou podporu svého registrátora a poskytněte mu data záznamu DS, která jste vygenerovali na Web Hosting Magic cPanel. Možná budete moci přidat záznam DS:
|
| name.com | Správa DNSSEC |
| namecheap | Chcete-li nakonfigurovat záznam DS pomocí NameCheap, proveďte následující kroky:
Správa DNSSEC pro domény směřující na Custom DNS |
| OpenSRS | Chcete-li nakonfigurovat záznam DS s OpenSRS, proveďte následující kroky:
|
| jménoISP | Jak povolím DNSSEC pro svou doménu? Povolení DNSSEC v nameISP nevyžaduje, abyste zkopírovali a vložili data záznamu DS z vašeho účtu Web Hosting Magic cPanel. |
| namesilo | Záznamy DS (DNSSEC) |
| OVH | OVH podporuje DNSSEC s Algorithm 13 prostřednictvím jejich API. Viz dokumentace. OVH také podporuje přidání DS záznamu přes jejich DNS Manager. |
| Veřejný registr domén | Kontaktujte zákaznickou podporu svého registrátora a poskytněte mu data záznamu DS, která jste vygenerovali na Web Hosting Magic cPanel. Tento registrátor může mít omezené TLD. Viz Přidání záznamů delegování signatáře (DS). |
| register.com | Kontaktujte zákaznickou podporu svého registrátora a poskytněte mu data záznamu DS, která jste vygenerovali pomocí Web Hosting Magic cPanel. |
| registro.br | DNS a DNSSEC Tutoriais (v portugalštině) |
| Tsohost | Kontaktujte zákaznickou podporu svého registrátora a poskytněte mu data záznamu DS, která jste vygenerovali pomocí Web Hosting Magic cPanel. |
Když byl DNSSEC úspěšně aplikován na vaši doménu, můžete to potvrdit kontrolou informací WHOIS pro vaši doménu.
Domény s DNSSEC budou v poli DNSSEC číst „signedDelegation“.
K ověření DNSSEC můžete také použít online nástroj, jako je http://dnsviz.net/ nebo https://dnssec-analyzer.verisignlabs.com/.