Документация и справочный портал Plesk

Посмотреть видеоурок

DNSSEC — это расширение протокола DNS, которое позволяет подписывать порядок данных DNS для защиты процесса разрешения доменного имени. Для получения общей информации о DNSSEC и его использовании посетите веб-сайт ICANN и https://tools.ietf.org/html/rfc6781.

Примечание. поддержка DNSSEC доступна в Plesk для Linux. Расширение PleskDNSSEC должно быть установлено в Plesk провайдером хостинга.

Вы можете сделать следующее, чтобы защитить данные DNS ваших доменов с помощью DNSSEC:

  • Подписать и отменить подписку доменных зон в соответствии со спецификациями DNSSEC
  • (Необязательно) Укажите пользовательские настройки, которые будут использоваться для генерации ключей.
  • Получать уведомления.
  • Просмотр и копирование записей ресурсов DS.
  • Просмотр и копирование наборов записей ресурсов DNSKEY.

Подписание Зона домена

Чтобы начать использовать защиту DNSSEC вашей зоны DNS, подпишите эту зону. Plesks подписывает зону с помощью автоматически сгенерированных подписей с использованием двух пар асимметричных ключей, ключа подписи ключа (KSK) и ключа подписи зоны (ZSK).

Чтобы подписать доменную зону:

  1. Выберите домен в Сайты и домены .

  2. Перейдите в DNSSEC и нажмите Подписать зону DNS.

  3. Если зона никогда не была подписанный ранее, Plesk предложит вам создать ключи, которые будут использоваться для создания подписи.

    Вы можете использовать значения по умолчанию или указать собственные значения. См. Рекомендуемые значения ниже.

  4. Если вы ранее подписали зону DNS, у вас есть выбор: использовать ранее сгенерированные ключи или сгенерировать новые. Если вы выберете новые ключи, вы можете использовать значения по умолчанию или указать собственные значения. См. Рекомендуемые значения ниже.

    Рекомендуемые значения KSK и настройки генерации ZSK:

    • Длинный ключ и длительный период обновления ключа KSK.

      Каждые при обновлении ключа для подписи ключа необходимо обновить записи DS в родительской зоне. Рекомендуемые значения помогут вам обновлять записи DS как можно реже без снижения уровня безопасности.

    • Более короткий ключ и более короткий период пролонгации для ZSK.

      Ключ подписи зоны обновляется автоматически. Рекомендуемые значения помогут вам сэкономить системные ресурсы без снижения уровня безопасности.

  5. В конце процедуры подписи Plesk отображает записи DS, которые содержат хэши ключей подписи ключей, используемых для подписания zone.

    Скопируйте записи ресурсов DS в буфер обмена, а затем добавьте их в зону родительского домена. См. Раздел Обновление записей DS в родительской зоне ниже.

Обновление записей DS в родительской зоне

Если родительская зона содержит устаревшие записи DS, имя домена больше не разрешается службой DNS.

Вам нужно будет вручную добавить или обновить записи DS в родительской доменной зоне во всех случаях, когда были обновлены ключи DNSSEC, а именно:

  • Вы подписали доменную зону, используя вновь сгенерированные ключи.
  • Произошло событие смены позиции KSK (ключа подписи ключа).

Plesk отправляет вам уведомления и дает вам некоторое время для обновления записей DS — этот период времени равен одному периоду обновления ключа KSK. В течение этого периода предыдущие записи DS остаются действительными.

Если вы отменили подпись В зоне домена вам необходимо вручную удалить записи DS в зоне родительского домена.

Чтобы обновить записи DS в родительской зоне:

Для домена в Plesk, родительский зона находится за пределами Plesk, обновите DSrecords у регистратора домена.

Для поддомена домена, размещенного в Plesk и имеющего DNS z один inPlesk:

  1. Перейти к настройкам DNS родительского домена ( Сайты и домены > перейти к родительскому домену> DNS Настройки ).
  2. Добавьте новые записи типа DS ( Добавить запись ) и вставьте значения, которые Plesk отображается в поле Записи ресурсов DS в настройках DNSEC субдомена.

Отмена подписи зоны домена

Отмена подписи доменная зона отключает защиту DNSSEC для этой зоны. Вам может потребоваться отменить подпись зоны, если ключи были скомпрометированы, а затем снова подписать зону, используя новые ключи.

Чтобы отменить подпись доменной зоны:

  1. Перейдите в Сайты и домены > выберите домен> DNSSEC и нажмите Отменить подписку .
  2. Удалите записи ресурсов DS из родительской зоны. В противном случае домен не будет разрешен.

Примечание. Когда вы отписываете зону, ключи не удаляются из Plesk. Вы можете снова подписать зону, используя те же ключи.

Просмотр записей ресурсов DNSKEY

Вам может потребоваться получить записи ресурсов DNSKEY, которые содержат общедоступные части ключа Ключи для подписи, используемые доменом.

Для отображения записей DNSKEY:

  1. Перейдите на Сайты и домены > выберите домен>
  2. Нажмите Просмотреть записи DNSKEY .


2. Добавить ключ домена DKIM в записи DNS домена

Повышение безопасности исходящей электронной почты (DKIM)

Настройте DKIM для предотвращения электронной почты спуфинг
Далее: 3. Включите подпись DKIM

Пропустите этот шаг, если ваш домен был предоставлен партнером хостинга домена Google Workspace

Если ваш домен был предоставлен партнером хостинга домена Google Workspace, пропустите этот шаг. Gmail генерирует для вас ключ домена и добавляет его в записи DNS вашего домена.. Перейдите в раздел «Включить подпись DKIM».

Чтобы включить DKIM, обновите запись TXT DNS своего домена, используя ключ домена DKIM, созданный в консоли администратора. Обновите запись TXT на хосте домена, а не в консоли администратора.

Подробнее о работе с записями TXT DNS.

Добавьте ключ домена в DNS своего домена. записей

Для этих шагов используйте ключ домена DKIM, созданный в консоли администратора.

Важно: если у вас есть другие чем один домен, выполните эти шаги для каждого домена. Используйте уникальный ключ DKIM для каждого домена.

  1. Войдите в консоль управления своего хоста домена.
  2. Найдите страницу, на которой вы обновляете DNS записи.

    Субдомены: если ваш хост домена не поддерживает обновление записей DNS субдомена, добавьте запись в родительский домен. Узнайте об обновлении записей DNS для субдомена.

  3. Добавьте запись TXT:

    Примечание. Если ваш поставщик домена ограничивает длину записей TXT перейдите в раздел Ключи домена и ограничения записей TXT.

    • В первом поле введите текст, отображаемый в консоли администратора в разделе Имя хоста DNS ( Имя записи TXT) .
    • Во втором поле введите текстовую строку, отображаемую в консоли администратора в разделе Значение записи TXT .
  4. Сохраните изменения.

Ключи домена и ограничения на записи TXT

Записи TXT DNS могут иметь до 255 символов в одной строке. Для записей TXT, длина которых превышает 255 символов, DNS объединяет несколько текстовых строк в одну запись.

2048-битный ключ домена длиннее, чем ограничение в 255 символов, поэтому для него требуется запись TXT, созданная из связанные текстовые строки.

Свяжитесь с хостом своего домена, чтобы узнать, поддерживаются ли записи TXT длиной более 255 символов:

  • Поддерживается : Узнайте, какие шаги необходимо предпринять для обновления записей DNS с помощью ключа домена. Шаги различны для разных услуг хостинга доменов.
  • Не поддерживается: используйте 1024-битные ключи домена для DKIM, чтобы не выходить за ограничение в 255 символов.

Дальнейшие действия

Включение подписи DKIM

Далее: 3. Включите подписывание DKIM
Было ли это полезно?
Как мы можем его улучшить?
Оцените статью
logicle.ru
Добавить комментарий