Hướng dẫn kích hoạt DNSSEC cho 1 tên miền với dịch vụ Premium DNS

DNSSEC là gì

DNSSEC là thuật ngữ được viết tắt cho cụm từ DNS Security Extensions, khi chữ Security xuất hiện là ta thấy được rằng DNSSEC chủ yếu liên quan đến sự bảo mật và mục đích mà extension này sinh ra là dành cho sự bảo mật trong quá trình truy vấn DNS.

Lấy ví dụ để dễ hình dung, tên miền của Quý khách là tenmiencuatui.com đang được trỏ về địa chỉ IP 123.2.2.2, nơi này sẽ chứa mã nguồn website của Quý khách. Nhưng khi khách hàng của Quý khách truy cập vào tên miền tenmiencuatui.com, vì một lý do gì đó lại bị trỏ về một địa chỉ IP khác là 124.4.4.4, trên server có địa chỉ IP này chứa mã nguồn giả mạo website của Quý khách và có các nội dung độc hại với người dùng, gây ảnh hưởng xấu đến tên miền cũng như thương hiệu của Quý khách.

Phía trên là ví dụ cho kiểu tấn công DNS Spoofing. Nếu tên miền của Quý khách được bật DNSSEC, sẽ chống được các kiểu tấn công trên.

Hướng dẫn bật DNSSEC

Đầu tiên, dùng tool sau để kiểm tra tên miền của Quý khách đã được bật DNSSEC hay chưa tại đây.

kiem-tra-dnssec-ten-mien-1

Với hình ảnh trên, Quý khách sẽ thấy khá nhiều các vòng tròn màu đỏ, tức là tên miền vẫn chưa được kích hoạt DNSSEC thành công. Bây giờ chúng ta hãy cùng kích hoạt extension này cho tên miền.

Bước 1: Bật DNSSEC cho tên miền

Sau khi đăng nhập vào trang dns.vhost.vn, tìm tên miền và click vào nút Disabled tại cột thứ hai.

kiem-tra-dnssec-ten-mien-2

Tiếp tục nhấp vào nút Enable.

kiem-tra-dnssec-ten-mien-3

Sau khi Enable, chúng ta cùng tiếp tục kiểm tra lại tên miền của mình xem đã được kích hoạt hay chưa.

kiem-tra-dnssec-ten-mien-4

Vậy là vẫn còn một chỗ màu đỏ, chưa được kích hoạt thành công, còn bị báo “No DS records found for … in the com zone”. Ở bước 2 và 3, chúng ta sẽ xử lý vấn đề này.

Bước 2: Lấy thông tin DS record

Trên trang dns.vhost.vn, tìm đến tên miền trước đó, click lại vào nút Disabled một lần nữa, lúc này hệ thống sẽ hiển thị chi tiết DS record của tên miền.

kiem-tra-dnssec-ten-mien-5
kiem-tra-dnssec-ten-mien-6

Về DS record, sẽ có 3 cấp độ mã hóa như 3 dòng ở trên mà Quý khách thấy, đối với cấp độ mã hóa ở dòng cuối cùng sẽ có cấp độ mã hóa mạnh nhất và tùy theo loại tên miền và nhà đăng ký mà chúng ta sẽ chọn DS record phù hợp.

DS record sẽ có 4 giá trị chính, cách nhau bởi một khoảng trắng. Ví dụ như DS record ở hình trên (dòng cuối cùng) sẽ có 4 giá trị bao gồm:

  • Keytag: 40764
  • Algorithm: 13
  • Digest Type: 4
  • Digest: 0d…b87

Bước 3: Khai báo thông tin DS record cho nhà đăng ký

Sau khi có thông tin DS record, chúng ta cần cung cấp thông tin DS record của tên miền cho nhà đăng ký để hoàn thành công việc kích hoạt DNSSEC cho tên miền. Vấn đề cung cấp DS record này, chúng tôi chia làm 3 trường hợp chính:

  • Domain quốc tế đăng ký tại vHost.
  • Domain Việt Nam (.vn) đăng ký tại vHost.
  • Domain được đăng ký tại nhà đăng ký khác.

Trường hợp 1: Tên miền quốc tế được đăng ký tại vHost

Đối với trường hợp này, Quý khách có thể tự khai báo DS record mà không cần phải liên hệ với chúng tôi. Quý khách truy cập vào members.vhost.vn, truy cập tiếp vào Danh sách tên miền, Tên miền cần thêm DS record, DNSSEC Management.

kiem-tra-dnssec-ten-mien-7
kiem-tra-dnssec-ten-mien-8

Đối với tên miền quốc tế được đăng ký tại vHost sẽ được hỗ trợ DS record với mức mã hóa mạnh nhất. Ở các ô trống, Quý khách điền vào các giá trị có trong DS Record như hình ví dụ bên dưới.

kiem-tra-dnssec-ten-mien-9
kiem-tra-dnssec-ten-mien-10

Mỗi giá trị sẽ cách nhau một khoảng trắng, Quý khách chỉ cần điền khớp các thông tin Keytag, Algorithm, Digest Type, Digest theo thứ tự sau đó nhấp vào Add Record.

Trường hợp 2: Tên miền Việt Nam (.vn) được đăng ký tại vHost

Quý khách cần gửi thông tin DS record đến vHost để vHost chuyển thông tin lên bộ cấu hình DS record.

Lưu ý: Tên miền Việt Nam chỉ được xử lý trong giờ làm việc của VNNIC, vì vậy thời gian kích hoạt có thể sẽ mất thời gian hơn tên miền Quốc Tế, mong Quý khách thông cảm và chờ thông tin mới sau khi gửi thông tin cho vHost.

Trường hợp 3: Tên miền được đăng ký từ nhà đăng ký khác (không phải vHost)

Quý khách cần gửi thông tin DS record ở bước 2 đến nhà đăng ký tên miền của Quý khách để được hỗ trợ cấu hình DS record.

Sau khi thêm DS record đầy đủ, Quý khách kiểm tra lại sẽ thấy DNSSEC đã được kích hoạt hoàn tất, không còn lỗi màu đỏ nào xuất hiện nữa.

kiem-tra-dnssec-ten-mien-11

Vậy là chúng tôi đã hướng dẫn Quý khách kích hoạt DNSSEC cho tên miền hoàn tất. Quý khách có thể tham khảo thêm cách thức cấu hình record cho tên miền của mình trên dịch vụ Premium DNS tại đường dẫn sau: https://howto.nsupport.asia/knowledge-base/cau-hinh-premium-dns/

Was this article helpful?

Related Articles

Leave A Comment?