Перейти к содержимому

DNSSEC

DNSSEC добавляет к DNS-ответам криптографические подписи: резолверы могут проверить, что записи вашего домена не подменены. WebShield подписывает ответы на каждом NS-сервере в реальном времени; вам достаточно включить подпись и опубликовать одну DS-запись у регистратора.

  1. Откройте Личный кабинет → DNS нужного домена.
  2. В карточке DNSSEC нажмите Включить DNSSEC.
  3. Скопируйте показанную DS-запись (рекомендуется вариант SHA-256, digest type 2).
  4. Опубликуйте DS-запись в панели регистратора (обычно раздел DNSSEC, DS-записи или похожий).

Пока DS-запись не опубликована, зона подписана, но резолверы её не проверяют — это безопасное состояние, для посетителей ничего не меняется. Как только регистратор опубликует DS-запись в родительской зоне, проверка станет активной. Карточка показывает, видна ли DS-запись в родительской зоне.

Технические детали: единый ключ CSK, алгоритм 13 (ECDSA P-256 с SHA-256), NSEC3 в narrow-режиме (содержимое зоны нельзя перечислить).

Снятие подписи при опубликованной DS-записи сделало бы домен недоступным для валидирующих резолверов (значительная часть интернета). Поэтому панель блокирует выключение, пока DS-запись не исчезнет из родительской зоны:

  1. Удалите DS-запись у регистратора.
  2. Дождитесь истечения TTL DS-записи (обычно до 24 часов).
  3. Нажмите Выключить в карточке DNSSEC.

Если у домена уже включён DNSSEC у прежнего DNS-провайдера, удалите DS-запись у регистратора до переключения NS-серверов на WebShield и дождитесь истечения её TTL. Иначе валидирующие резолверы отвергнут неподписанные ответы новых NS-серверов. После переноса включите DNSSEC в WebShield и опубликуйте новую DS-запись.

DNSSEC можно управлять и через API-токен со скоупом dns:

  • GET /api/v1/domains/<id>/dnssec — статус и DS-записи;
  • POST /api/v1/domains/<id>/dnssec — включить подпись;
  • DELETE /api/v1/domains/<id>/dnssec — выключить подпись (вернёт 409, пока DS-запись ещё опубликована в родительской зоне).