Co to jest DNSSEC?
Domain Name Security Extensions (DNSSEC) to zaawansowana funkcja DNS, która zapewnia kolejny poziom zabezpieczeń Twoich domen, dołączając rekordy sygnatury cyfrowej (DS) do ich danych DNS. Przejdź na DNS Premium i włącz DNSSEC na swoim koncie. Jeśli korzystasz z samodzielnie zarządzanej usługi DNSSEC, możesz ręcznie dodać rekord DS na swoim koncie.
Wybierz pytanie, aby zobaczyć odpowiedź:
- Co to jest DNSSEC?
- Dlaczego moja witryna nie jest już rozpoznawana po włączeniu DNSSEC?
- Jak włączyć DNSSEC i podpisać strefę?
- Jak sprawdzić, czy żądany adres URL obsługuje DNSSEC?
- Skoro DNSSEC sprawia, że Internet jest bezpieczniejszy, dlaczego ta usługa nie jest używana przez wszystkich?
- Czy są jakieś powody, dla których nie należy używać DNSSEC?
Co to jest DNSSEC?
Rozszerzenia zabezpieczeń systemu nazw domen (DNSSEC) dodają podpisy cyfrowe do systemu DNS (Domain Name System) nazwy domeny, aby określić autentyczność źródłowej nazwy domeny. Tę funkcję zaprojektowano w celu ochrony użytkowników Internetu przed sfałszowanymi danymi DNS, takimi jak wprowadzający w błąd lub złośliwy adres zamiast prawidłowego adresu, którego zażądał użytkownik.
Kiedy zabezpieczenia DNSSEC są włączone, wyszukiwania DNS używają podpisu cyfrowego w celu weryfikacji, czy źródło DNS witryny jest prawidłowe. Pozwala to zapobiegać niektórym typom ataków. Jeśli podpis cyfrowy jest niezgodny, przeglądarki nie wyświetlą witryny.
Dlaczego moja witryna nie jest już rozpoznawana po włączeniu DNSSEC?
Podpis cyfrowy zapisany w rekordzie DS (Declaration of Signing) musi być zgodny z podpisem cyfrowym generowanym przez serwery nazwy domeny. W przeciwnym razie domena nie zostanie rozpoznana jako witryna. Porównaj dokładnie wprowadzone informacje w rekordzie DS z rekordem strefy zapisanym na serwerze nazw, upewniając się, że są zgodne.
Jak włączyć DNSSEC i podpisać strefę?
GoDaddy oferuje opcję w pełni zarządzanej usługi DNSSEC w ramach usługi DNS Premium. Jeśli Twoja domena używa serwerów nazw firmy GoDaddy, możesz włączyć DNSSEC dla swoich domen, a my zajmiemy się procesem podpisywania strefy w Twoim imieniu.
Jeśli Twoja domena jest zarejestrowana w firmie GoDaddy, ale nie używa serwerów nazw firmy GoDaddy, będzie konieczne skonfigurowanie samodzielnie zarządzanej usługi DNSSEC za pośrednictwem dostawcy DNS. Należy utworzyć cyfrowo klucze prywatny i publiczny oraz wygenerować rekord Declaration of Signing podczas procesu podpisywania domeny. Wymagania i ograniczenia mogą się różnić w zależności od rejestru domeny i dostawcy DNS. Skontaktuj się ze swoim dostawcą DNS, aby uzyskać więcej informacji, lub przełącz się na serwery nazw firmy GoDaddy i usługę DNS Premium, aby włączyć w pełni zarządzaną usługę DNSSEC w naszej firmie.
Jak sprawdzić, czy żądany adres URL obsługuje DNSSEC?
Jeśli wystąpi problem z weryfikacją adresu URL obsługującego DNSSEC, otrzymasz komunikat informujący, że witryna nie istnieje.
Niestety, obecnie przeglądarki nie są skonfigurowane do identyfikacji DNSSEC. Nie jest przedstawiane wizualne wskazanie dla witryn zabezpieczonych przy użyciu DNSSEC, w przeciwieństwie do witryn zabezpieczonych przy użyciu SSL, dla których jest wyświetlana ikona kłódki.
Skoro DNSSEC sprawia, że Internet jest bezpieczniejszy, dlaczego ta usługa nie jest używana przez wszystkich?
Implementacja DNSSEC w całym Internecie stanowi poważne wyzwanie. Wdrożenie wymaga starań, konsensusu i wydatków (często znaczących) na całym świecie. Implementacja stale posuwa się do przodu i jest wykonywana dla kolejnych rozszerzeń nazw domen i rejestrów. W miarę jak usługa DNSSEC będzie wprowadzana dla następnych rozszerzeń, dołożymy wszelkich starań, aby zapewnić ją dla zarejestrowanych u nas nazw domen.
Czy są jakieś powody, dla których nie należy używać DNSSEC?
Nie ma żadnego powodu, dla którego domena nie powinna korzystać z DNSSEC, ale należy rozważyć kilka negatywnych czynników. Zabezpieczenia DNSSEC wymagają więcej informacji, co może obniżyć wydajność witryny. Ponadto system DNS staje się bardziej wrażliwy, co może minimalnie zwiększyć ryzyko niepowodzenia.
Jednak potencjalne ryzyko jest minimalne, a włączenie DNSSEC może przynieść znaczne korzyści dla użytkowników, którzy muszą chronić cenne informacje. Jeśli nie jesteś regularnym celem złośliwej aktywności, nie gromadzisz poufnych danych i nie zajmujesz ważnego stanowiska (np. nie jesteś politykiem), możesz zrezygnować z użycia DNSSEC.
Powiązany krok
- Przejdź na DNS Premium i włącz zabezpieczenia DNSSEC, aby skorzystać z naszych w pełni zarządzanych usług DNSSEC.
- W przypadku samodzielnie zarządzanych zabezpieczeń DNSSEC dodaj nowy rekord DS dla swojej domeny.
Więcej informacji
- Niektóre domeny, takie jak domeny krajowe, nie obsługują DNSSEC.
- Zabezpiecz swoją witrynę przy użyciu certyfikatu SSL i usługi Zabezpieczenia witryn.
- Zalecamy włączenie weryfikacji dwuetapowej, aby zabezpieczyć całe konto GoDaddy.
