Generowanie kluczy DNSSEC w cPanelu
DNS (pol. system nazw domen) to protokół, który tłumaczy łatwe do zapamiętania przez człowieka nazwy domen na adresy IP docelowych serwerów.
Natomiast DNSSEC to rozszerzenie protokołu DNS o klucze kryptograficzne zwiększające jego bezpieczeństwo. Zważywszy, iż system DNS jest rozproszony, pojawia się ryzyko ataków na niego i sposobność przekierowania ruchu ze strony docelowej na fałszywą. Korzystając z DNSSEC, zapewnisz sobie integralność i autentyczność danych, które krążą w systemie DNS.
Więcej informacji na temat DNSSEC znajdziesz w artykule: https://www.mserwis.pl/blog/dnssec-co-to-jest-jak-dziala-i-czy-warto-go-uzywac/
Proces uruchomienia DNSSEC dzieli się na dwa etapy:
- Wygenerowanie kluczy kryptograficznych na serwerze, gdzie znajduje się Twoje konto hostingowe.
- Wprowadzenie klucza do konfiguracji Twojej domeny.
Jeżeli posiadasz domenę w Domeny.tv, upewnij się, że Twoja domena wydelegowana jest na hosting w MSERWIS.
W celu wygenerowania kluczy DNSSEC zaloguj się do swojego konta w cPanel.
Kolejno z zakładki “DOMENY” wybierz “Zone Editor”.
Z listy dostępnych domen znajdź tą dla której chcesz uruchomić DNSSEC. W ramach tego poradnika będzie to domena testdomenytv.pl.
Kliknij ikonkę “DNSSEC”, a następnie “Create Key”.
Otworzy się okno konfiguracyjne. Przejdź do ustawień zaawansowanych klikając przycisk “Dostosuj”.
Zobaczysz 3 sekcje z różnymi polami opcji. Zalecamy wybór następujących z nich:
- Sekcja Key Setup - Classic
- Algorithm – EDCSA Curve P-256 with SHA-256 (Algorithm 13)
- Stan – Active
Kliknij “Utwórz”.
Zobaczysz wygenerowane klucze DNSSEC. Teraz wystarczy, że wprowadzisz je do konfiguracji domeny.
Wygenerowane klucze DNSSEC będziesz mógł podejrzeć w zakładce "Zone Editor" klikając w "View DS Records".
Wprowadzanie kluczy DNSSEC w panelu administracyjnym Domeny.tv
W celu dokończenia konfiguracji DNSSEC dla domeny zaloguj się do panelu administracyjnego Domeny.tv.
Rozwiń zakładkę “Domeny” i znajdź swoją domenę.
Kliknij przycisk edycji konfiguracji DNSSEC.
Dodaj nowe rekordy i wprowadź następujące wartości:
- KeyTag – wartość numeryczna wygenerowana przez cPanel.
- Typ algorytmu klucza – wybierz “ECDSA Curve P-256 with SHA-256”, czyli Algorytm 13.
- Typ funkcji skrótu – wybierz SHA-256, czyli Algorytm 2.
- Digest – wprowadź wartość wygenerowaną przez cPanel przy tym algorytmie.
Wystarczy, że użyjesz jeden “Digest Type“ z trzech dostępnych w cPanel, lecz nie zaszkodzi jeśli podasz je wszystkie naraz.
Zapisz zmiany. Jeżeli wartości zostały wprowadzone poprawnie zobaczysz komunikat “Zmiany prawidłowo zapisane”.
Poprawną konfigurację DNSSEC zweryfikujesz zewnętrznymi np. bazą WHOIS czy https://dnssec-analyzer.verisignlabs.com, gdzie wystarczy wprowadzić nazwę domeny.
Wyniki wszystkich testów powinny być na zielono. Będzie to oznaczać, że właściwe klucze DNSSEC znajdują się zarówno w konfiguracji domeny .pl jak i hostingu, a także że są zgodne.
Jeśli zdecydujesz się wygenerować nowy zestaw kluczy i unieważnić poprzedni, musisz wprowadzić zmiany w konfiguracji domeny. W przeciwnym wypadku Twoja domena przestanie działać, z uwagi na to, że klucze DNSSEC nie będą zgodne.
Konfiguracja DNSSEC dla domen innych niż .pl
Powinieneś wiedzieć, że nie każdy rejestr domen wspiera DNSSEC. W przypadku domen innych niż .pl sposób generowania i wprowadzania kluczy może być różny. Przeważnie będzie zależał od typu obsługiwanego algorytmu – nie każdy rejestr wspiera wszystkie.
Z kolei w przypadku domen .eu w konfiguracji domeny nie wprowadzisz ciągu “digest”, tylko klucz publiczny KSK, który również znajdziesz w cPanelu dla danej domeny.