A DNSSEC (Domain Name System Security Extensions) segít megvédeni a DNS rekordokat a hamisítástól. Ha szükséged van aláírt zónára, fontos tudni, hogyan kell a kulcsokat és DS rekordokat kezelni. Az alábbi útmutató bemutatja a legfontosabb lépéseket.

1. Mikor érdemes DNSSEC-et használni?

  • Ha kritikus szolgáltatást futtatsz (pl. banki, egészségügyi, kormányzati oldalak).
  • Ha olyan szolgáltató kérte, amely DNSSEC-validációt végez.
  • Ha szeretnéd minimalizálni a DNS cache poisoning és man-in-the-middle támadások esélyét.

2. Alapfogalmak

  • Zónaaláírás (ZSK/ KSK): a zónát aláíró kulcsok. A KSK aláírja a ZSK-t, a ZSK a zóna rekordjait.
  • DS rekord: a Nyilvántartó felé továbbított „hash”, amely összeköti a delegációt a kulcsoddal.
  • Key Tag, Algorithm, Digest Type, Digest: a DS rekord mezői, amelyeket pontosan kell megadni.

3. DNSSEC bekapcsolása lépésről lépésre

  1. Generáld a kulcsokat: a DNS-szolgáltatód vagy feltöltött BIND zónád támogatja a kulcsgenerálást. Győződj meg róla, hogy mindenképp KSK és ZSK is rendelkezésre áll.
  2. Aláírás: a DNS-szolgáltatóddal írasd alá a zónát (általában automatikusan kezeli).
  3. DS rekord lekérése: a szolgáltató felületén keresd meg a KSK-hez tartozó DS értéket. A mezők: Key Tag, Algorithm, Digest Type, Digest.
  4. DS rekord rögzítése: az Ügyfélkapuban a domain részleteinél add meg a DS rekordot (DNSSEC menüpont). Több DS rekord is megadható, ha több kulcsot használsz.
  5. Ellenőrzés: használd a dig +dnssec vagy online DNSSEC ellenőrzőket (pl. Verisign DNSSEC Analyzer).

4. Kulcsok frissítése

  • ZSK rotáció: gyakran automatikus, a szolgáltató végzi. Ha manuálisan végzed, publikáld az új ZSK-t, írd alá vele a zónát, majd távolítsd el a régit.
  • KSK cseréje: először add hozzá az új DS rekordot a Nyilvántartóhoz, csak utána távolítsd el a régit (dupla publikálás módszere).
  • Időzítés: minden változtatás után várd meg a TTL-ek lejáratát, mielőtt törölnéd a régi kulcsot.

5. Gyakori hibák

  • Rossz Algorithm vagy Digest Type: ha nem egyezik a szolgáltató által adott értékekkel, a DNSSEC érvénytelen lesz.
  • Hiányzó DS rekord: aláírt zóna DS nélkül – a validátorok hibát jeleznek, a domain elérhetetlenné válhat.
  • KSK csere helytelen sorrendben: ha hamarabb törlöd a régi DS rekordot, mint az új publikálódna, a lánc megszakad.

6. Hasznos parancsok

  • dig example.hu ds @ns1.registry.hu – ellenőrizd, mit lát a Nyilvántartó.
  • dig example.hu dnskey +dnssec – nézd meg, milyen kulcsokat publikálsz.
  • drill -DNSSEC example.hu – validáció szimulációja.

7. További segítség

Ha nem vagy biztos a DS rekord értékeiben, vagy a szolgáltató nem ad egyértelmű útmutatót, fordulj ügyfélszolgálatunkhoz. Ellenőrizzük a jelenlegi DNS állapotot, és segítünk a helyes beállításban.

Figyelem: a DNSSEC hibák gyakran szolgáltatás-kiesést okoznak, ezért mindig teszteld a módosításokat és azonnal jelezd, ha problémát tapasztalsz.

Hasznosnak találtad ezt a választ? 31 felhasználó találta ezt hasznosnak (122 szavazat)

Legnépszerűbb bejegyzések

Kapcsolattartói adatok frissítése és faktoros beállítások

A .hu domainek kezelésénél kiemelten fontos, hogy a regisztráló és a kapcsolattartók adatai...
Okiratos .hu domain faktorosra váltása és névváltoztatás menete

Okiratos védelem alatt álló (.hu) domainek esetében minden olyan módosítás (például jogfolytonos...
Faktoros .hu domain tulajdonosváltása

Ha egy .hu domain már faktoros védelemmel rendelkezik, a tulajdonos (domain-használó) cseréje...
Domain átregisztráció (.hu) dokumentumokkal – lépésről lépésre

Ha egy .hu domain még okiratos (DOC) védelemmel rendelkezik, az átregisztráció nem indítható el...
Domain átregisztráció lépésről lépésre (faktoros .hu és nemzetközi domainek)

Ha egy domain tulajdonosa vagy regisztrátora változik, átregisztrációra (transfer) van szükség....