Что такое DNSSEC
DNSSEC добавляет криптографические подписи к DNS-записям. Это предотвращает атаки DNS Cache Poisoning — злоумышленник не может подменить A-запись вашего домена на свой IP.
💡 DNSSEC особенно важен для финансовых и медицинских сайтов, где подмена DNS может привести к фишингу.
Включение DNSSEC в cPanel/WHM
WHM → DNS Functions → DNSSEC Manager → выберите домен → Create Keys
После создания ключей cPanel покажет DS-запись (Delegation Signer) — её нужно добавить у регистратора.
Добавление DS-записи у регистратора
У большинства регистраторов есть раздел DNSSEC или DS Records:
- Key Tag (тег ключа)
- Algorithm (обычно 13 — ECDSAP256SHA256)
- Digest Type (обычно 2 — SHA-256)
- Digest (хэш публичного ключа)
Проверка DNSSEC
# Проверка через dig
dig yourdomain.com +dnssec +short
# Онлайн-проверка
# dnssec-analyzer.verisignlabs.com| Статус | Значение |
|---|---|
| ✅ Secure | DNSSEC работает корректно |
| ⚠️ Insecure | DNSSEC не настроен |
| ❌ Bogus | Ошибка подписи — проблема конфигурации |
⚠️ После включения DNSSEC будьте осторожны при смене NS-серверов — нужно сначала удалить DS-записи у регистратора, иначе домен перестанет резолвиться.