Настройка DNSSEC для домена
DNSSEC - это расширение протокола DNS, использующее цифровую подпись данных DNS для обеспечения безопасности процесса преобразования доменных имен. Общую информацию о DNSSEC и его использовании можно найти на сайте ICANN и https://tools.ietf.org/html/rfc6781.
Примечание. Поддержка DNSSEC доступна в Plesk для Linux. Провайдер хостинга должен установить расширение Plesk DNSSEC в Plesk.
Вы можете делать следующее для защиты данных DNS ваших доменов с помощью DNSSEC:
- Подписывать зоны или удалить подпись в соответствии со спецификациями DNSSEC
- (Необязательно) Указывать индивидуальные настройки для создания ключей
- Получать уведомления
- Просматривать и копировать записи ресурсов DS
- Просматривать и копировать наборы записей ресурсов DNSKEY.
Подписание доменной зоны
Чтобы начать использовать защиту DNSSEC для своей зоны DNS, подпишите эту зону. Plesk подписывает зону автоматически создаваемыми подписями, используя две пары асимметричных ключей: для подписи ключа - Key Signing Key (KSK) и для подписи зоны - Zone Signing Key (ZSK).
Чтобы подписать доменную зону:
- Выберите домен на странице Сайты и домены.
- Перейдите в DNSSEC и нажмите Подписать зону DNS.
- Если зона ранее никогда не была подписана, Plesk предложит вам сгенерировать ключи, с помощью которых будет создана подпись.
Вы можете использовать значения по умолчанию или указать свои собственные. Смотрите Рекомендуемые значения ниже.
- Если вы уже ранее подписывали зону DNS, то можно выбрать, использовать ранее созданные ключи или создать новые. Если вы выбираете новые ключи, можно использовать значения по умолчанию или указать свои собственные. Смотрите Рекомендуемые значения ниже.
Рекомендуемые значения настроек для создания KSK и ZSK:
- Длинный ключ и длинный период обновления ключа для KSK
Каждый раз при обновлении пары для подписи ключа, нужно обновить записи DS в зоне родительского домена. Использование рекомендуемых значений поможет вам обновлять записи DS как можно реже без ущерба для безопасности.
- Более короткий ключ и более короткий период обновления ключа для ZSK
Пара ключей для подписи зоны обновляется автоматически. Рекомендуемые значения помогут вам сэкономить ресурсы системы без ущерба для безопасности.
- Длинный ключ и длинный период обновления ключа для KSK
- В конце процедуры подписания Plesk покажет записи DS, содержащие хеши ключей для подписи ключа, которые использовались для подписания зоны.
Скопируйте записи ресурсов DS и добавьте их в родительскую доменную зону. Смотрите раздел Обновление записей DS в родительской зоне ниже.
Обновление записей DS в родительской зоне
Если в родительской зоне содержатся устаревшие записи DS, доменное имя больше не преобразуется службой DNS.
Необходимо вручную добавить или обновить записи DS в родительской зоне во всех случаях, когда ключи DNSSEC были обновлены, а именно:
- Вы подписали доменную зону с помощью вновь созданных ключей.
- Произошло обновление KSK (Key Signing Key).
Plesk отправляет вам уведомления и дает некоторое время на обновление записей DS - этот период времени равен одному периоду обновления KSK. В течение этого периода предыдущие записи DS все еще действительны.
Если вы удалили подпись доменной зоны, необходимо вручную удалить записи DS из родительской доменной зоны.
Чтобы обновить записи DS в родительской зоне:
Для домена в Plesk, чья родительская зона находится вне Plesk, обновите записи DS у своего регистратора домена.
Для субдомена домена, размещенного в Plesk, чья зона DNS находится в Plesk:
- Перейдите на страницу настроек DNS родительского домена (Сайты и домены > родительский домен > Настройки DNS).
- Добавьте новые записи типа DS (Добавить запись) и вставьте показываемые Plesk значения в поле Записи ресурсов DS в настройках DNSSEC субдомена.
Удаление подписи доменной зоны
Удаление подписи доменной зоны отключает защиту DNSSEC для этой зоны. Вам может потребоваться удалить подпись зоны, если были скомпрометированы ключи, чтобы затем подписать зону снова новыми ключами.
Чтобы удалить подпись доменной зоны:
- Перейдите на страницу Сайты и домены > выберите домен > DNSSEC и нажмите Удалить подпись.
- Удалите записи ресурсов DS из родительской зоны. В противном случае имя домена не будет преобразовываться.
Примечание. При удалении подписи зоны ключи не удаляются из Plesk. Вы можете снова подписать зону с помощью тех же ключей.
Просмотр записей ресурсов DNSKEY
Вам может понадобиться получить записи ресурсов DNSKEY, содержащие открытые части ключей Key Signing Keys, которые используются для домена.
Для просмотра записей DNSKEY:
- Перейдите на страницу Сайты и домены> выберите домен > DNSSEC.
- Нажмите Просмотр записей DNSKEY.