Как подключить DNSSEC?

Серверы имён FirstVDS пока не поддерживают DNSSEC. Чтобы использовать эту опцию, нужно организовать собственные серверы имён — через панель управления ISPmanager или установив и настроив DNS-сервер вручную. Например, с помощью Bind с версии 9.9.

Для подключения DNSSEC в первую очередь нужно сгенерировать DS-записи — цифровые подписи данных вашего домена. Рассмотрим генерацию через интерфейс панели ISPmanager. Предположим, что у вас уже настроены собственные серверы имён.

Подключение DNSSEC в ISPmanager

Чтобы начать работать с DNSSEC, нужно включить его в настройках панели. Для этого откройте ISPmanager, перейдите в раздел Домены — Доменные имена и сверху нажмите «Настройки».

В конце открывшегося списка параметров отметьте пункт «Поддержка DNSSEC» и нажмите «Ok».

Если после подключения поддержки DNSSEC вернуться в раздел Домены — Доменные имена и снова нажать «Настройки», в конце списка параметров вы увидите новые поля: 

С их помощью можно задать ряд настроек для DNSSEC:

• алгоритм хэширования ключей. Чем современнее алгоритм, тем сложнее его взломать — и тем надёжнее защищён ваш ключ. Но тем больше времени и вычислительных ресурсов процессора требуется на обработку.
• длина ключа — чем больше, тем сложнее подобрать ваш ключ. С длиной ключа увеличивается файл зоны и нагрузка на сервер при подписи новых доменов.
• период обновления ключа — определяет срок действия ключей.

После активации DNSSEC можно можно подписывать домены с помощью электронной подписи. Эта опция доступна в разделе Домены — Доменные имена — выберите ваш домен в списке, на панели инструментов нажмите «Изменить». В настройках отметьте пункт «Подписать домен» и нажмите «Ок» для сохранения параметров. 

В течение пары минут в панели появится уведомление о неопубликованных DS-записях. Чтобы его увидеть, обновите страницу.

Чтобы опубликовать DS-записи (передать регистратору домена), в разделе Домены — Доменные домена выберите ваш домен и сверху нажмите «DNSSEC».

В разделе DS-записи будут перечислены данные, которые нужно передать регистратору. В некоторых случаях регистратор может требовать указать и DNSKEY-записи.

Каждая DS-запись в ISPmanager состоит из следующих полей: 

Если вы регистрировали домен у нас, для передачи записей регистратору обратитесь в службу поддержки: создайте запрос в Личном кабинете — раздел Поддержка — Запросы — «Создать». В текст запроса скопируйте все DS-записи.

При использовании собственных серверов имён регистратору передаются DS-записи только основного домена — того, на базе которого работают ваши NS-ы. При создании и подписи дополнительных доменов их DS-записи передаются уже вашей зоне, и она отвечает за их валидацию. 

Например, если домен, на котором настроены собственные серверы имён, и дополнительные домены размещены на одном сервере, DS-записи можно передать автоматически: откройте раздел Домены — Доменные имена, выберите подписанный домен и сверху нажмите «DNSSEC». Внизу нажмите «Передать DS-записи в родительскую зону»: 

Если же главный домен, на котором работают серверы имён, и дополнительные домены размещены на разных серверах, DS-записи дополнительных доменов потребуется создать в главном домене вручную. Это можно сделать в ISPmanager — раздел Домены — Доменные имена — выберите домен, сверху «Записи»:

Откроется список записей главного домена. Для добавления записей нажмите «Создать»:

Откроется окно настройки новой записи. 

• в поле «Имя» введите имя домена, DS-запись которого хотите добавить;
• в поле «Тип» выберите вариант «DS (дайджест ключа DNSSEC)»;
• остальные поля заполняются по содержимому добавляемой DS-записи.

Чтобы сохранить настройки, нажмите «Оk». На этом публикация DS-записи дополнительного домена завершена. Однако их обычно несколько для каждого домена, так что не расслабляйтесь :)

После успешной публикации DS-записей в родительской зоне и обновления кэша DNS статус домена в ISPmanager изменится: