DNSSECi seadistamine
DNSSEC allkirjastab su domeeni DNS-vastused krüptograafiliselt, nii et ründaja ei saa neid võltsida ega külastajat võltssaidile suunata. See juhend selgitab, mis DNSSEC on, miks see oluline on ja kuidas see turvaliselt aktiveerida — ilma domeeni kättesaamatuks muutmata.
Mis on DNSSEC?
Tavaline DNS ei kontrolli vastuste ehtsust — ründaja võib vahemällu istutada võltsvastuse (cache poisoning) ja suunata külastaja võltssaidile, ilma et keegi märkaks. DNSSEC (DNS Security Extensions) lisab igale DNS-vastusele krüptograafilise allkirja, mida resolver saab kontrollida: kas vastus pärineb tõesti tsooni omanikult ja kas seda pole teel muudetud.
See on eriti oluline panganduse, e-posti ja API-de puhul, kus võltsitud DNS-vastus võib suunata kasutaja või andmed valesse kohta. Eesti .ee tsoon toetab DNSSEC-i täielikult.
Kuidas DNSSEC aktiveerida
Erinevalt SPF-ist ja DMARC-ist ei ole DNSSEC tavaline TXT-kirje, mille ise lisad. See aktiveeritakse DNS-i haldava teenuse ja domeeni registripidaja koostöös — allkirjastamine ühes otsas ja usaldusahelat kinnitav DS-kirje registris teises.
- Selgita, kes su DNS-i haldab. Kui nimeserverid on registripidaja või majutuspakkuja omad, tehakse aktiveerimine tavaliselt ühe lülitiga nende haldusliideses.
- Registripidaja haldusliideses — otsi valikut „Aktiveeri DNSSEC". Süsteem allkirjastab tsooni ja lisab DS-kirje
.eeregistrisse automaatselt. - Välise DNS-i puhul (nt Cloudflare) — aktiveeri allkirjastamine seal, kopeeri saadud DS-kirje ja lisa see registripidaja juures domeenile. Alles DS-kirje registris muudab kaitse aktiivseks.
- Kontrolli tulemust DNSSEC-kontrolliga: kas allkirjaahel on terve ja DS-kirje registris kehtiv.
Hoiatus: vale DNSSEC-seadistus muudab domeeni kättesaamatuks — resolverid keelduvad allkirjastamata või katkise ahelaga vastustest. Ära lülita DNSSEC-i sisse ega välja hooletult ja kontrolli seadistust alati üle.
Levinud vead
- DS-kirje ei vasta võtmele. Registris olev DS peab vastama tsooni allkirjastamise võtmele (DNSKEY). Mittevastavus katkestab ahela ja domeen kaob.
- Nimeserverite vahetus ilma DNSSEC-i välja lülitamata. Kui kolid DNS-i teise teenusesse, lülita vana pool esmalt välja — muidu jääb registrisse DS-kirje, millele uus pool allkirja anda ei oska.
- Võtmevahetus ilma DS-i uuendamata. Võtmevahetus peab jõudma ka registrisse, muidu läheb ahel katki.
Tasuta DNSSEC-kontroll näitab, kas su domeen on allkirjastatud, kas DS-kirje on registris olemas ja kas allkirjaahel on kehtiv.
Kontrolli oma DNSSEC-iVirtuaal.com klientidele
Kui su domeen ja e-post on Virtuaal.com-i juures, saad kirjed lisada majutuse haldusliidesest. Samm-sammult juhised leiad Virtuaal.com-i abikeskusest.
Seotud juhendid
Korduma kippuvad küsimused
Mis on DNSSEC ja kas mul on seda vaja?
DNSSEC lisab DNS-vastustele krüptograafilise allkirja, mis välistab vastuste võltsimise (vahemälu mürgitamise). See on soovitatav igale domeenile, eriti panganduse, e-posti ja API-de puhul. Eesti .ee tsoon toetab DNSSEC-i täielikult.
Kas DNSSEC võib domeeni kättesaamatuks muuta?
Jah, kui seadistus on vigane. Kui registris olev DS-kirje ei vasta tsooni allkirjale või ahel katkeb võtme- või nimeserveri vahetuse käigus, keelduvad resolverid vastustest ja domeen kaob. Seetõttu tuleb DNSSEC-i seadistust alati üle kontrollida.
Kas .ee domeenid toetavad DNSSEC-i?
Jah, Eesti .ee tsoon toetab DNSSEC-i täielikult ja enamik registripidajaid pakub selle aktiveerimist. Kontrolli oma domeeni olekut dns.vork.ee DNSSEC-tööriistaga.