הפעלת DNSSEC

בדף הזה מוסבר איך להפעיל ולהשבית תוספי אבטחה של DNS ‏ (DNSSEC) ברשם הדומיינים.

מידע נוסף על DNSSEC זמין בסקירה הכללית על DNSSEC.

הפעלת DNSSEC אצל רשם הדומיין

אחרי הפעלת DNSSEC לאזורים ציבוריים מנוהלים קיימים, צריך להפעיל DNSSEC אצל רשם הדומיינים. כדי להפעיל DNSSEC, צריך ליצור רשומת DS לדומיין באזור האב, כדי ששרתי שמות יוכלו לזהות שה-DNSSEC מופעל בדומיין ולבדוק את התוקף של הנתונים שלו.

לכל רשם יש הליך שונה ליצירת רשומת ה-DS הזו. רשמי דומיינים רבים משתמשים בטופס באתר. מידע נוסף זמין במסמכי התיעוד של רשם הדומיינים.

אחרי שמפעילים את DNSSEC, רשומת ה-DS צריכה להתעדכן בכל ה-DNS. התהליך הזה יכול להימשך 24 שעות או יותר, בהתאם לערכי הזמן לחיים (TTL) שהגדרתם לרשומות ה-DNS ולהתנהגות של מטמון של פותרים שונים של DNS.

לפני שמפעילים DNSSEC בדומיינים חשובים, חשוב לבדוק את הגדרת ה-DNS באופן יסודי.

קבלת רשומות DS

כדי לקבל רשומות DS לאזור שלכם, פועלים לפי השלבים הבאים:

המסוף

  1. במסוף Google Cloud , נכנסים לדף יצירת תחום DNS.

    מעבר אל יצירת תחום DNS

  2. לוחצים על האזור שרוצים לראות את רשומות ה-DS שלו.

  3. לוחצים על הגדרת רשם.

  4. מעתיקים את רשומות ה-DS מתיבת הדו-שיח. רשומות ה-DS אמורות להיראות כך:

    18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
    

gcloud

משתמשים בפקודה gcloud dns dns-keys list.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • MANAGED_ZONE: השם של האזור המנוהל

הפלט אמור להיראות כך:

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

השבתת DNSSEC אצל רשם הדומיין

לפני שמשביתים DNSSEC לאזור מנוהל שעדיין רוצים להשתמש בו, צריך להשבית DNSSEC לאזור אצל רשם הדומיינים כדי לוודא שעדיין אפשר לפתור שמות באזור באמצעות רכיבי Resolver שמאמתים DNSSEC.

כדי להשבית את DNSSEC, צריך להסיר את כל רשומות ה-DS של הדומיין מאזור האב. הפעולה הזו מונעת מפתרון הבעיות להשתמש ב-DNSSEC כדי לאמת את נתוני הדומיין.

אחרי שמסירים את רשומות ה-DS מהרשם, צריך לחכות עד שההסרה של רשומת ה-DS תתעדכן בכל השרתים לפתרון שמות, ורק אז אפשר להשבית את DNSSEC באזור. התהליך הזה עשוי להימשך 24 שעות או יותר, בהתאם לזמן הטעינה של ההפצה שנגרם על ידי הרשם, המרשם והשמירה במטמון של מפענח ה-DNS.

אחרי שתאשרו שרשומת ה-DS הוסרה מהרשם ושאין יותר גישה אליה לפתרון בעיות, תוכלו להשבית את DNSSEC באזור.

המאמרים הבאים