- בלוג
- הגדרת אבטחת DNSSEC בדומיין
הגדרת אבטחת DNSSEC בדומיין
הגדרת אבטחת DNSSEC בדומיין
פורסם ב 03-07-2026
אבטחת הנכסים הדיגיטליים שלכם אשר נמצאים באזקתנו – בכללם הדומיין שלכם – חשובה לנו מאוד. מסיבה זו, אנו מאפשרים לכם לבצע הגדרת אבטחת DNSSEC בדומיין שאתם מנהלים אצלנו.
DNSSEC הוא למעשה הרחבת אבטחה של פרוטוקול DNS (ה-SEC הוא קיצור של המילה Secure, כלומר, DNS Secure). הוא כולל אימות קריפטוגרפי של החתימות הדיגיטליות של שרתי ה-DNS לאורך ההיררכיה שלהם, ועל ידי כך מונע מגורמים זדוניים “להרעיל” או לזייף מידע ורשומות DNS, כך שלא יוכלו להפנות גולשים ברשת לשרת אשר איננו השרת המקורי והלגיטימי המשויך לדומיין.
- למה פרוטוקול DNSSEC חשוב, ממה הוא בדיוק מגן על הדומיין שלכם ואיך הוא עובד? התשובות נמצאות במאמר שכתבנו עליו.
הגדרת אבטחת DNSSEC בדומיין הנה צעד קריטי לכל מי שמחזיק בדומיין לגיטימי, ולא היינו ממליצים לדלג עליה. למעשה, לדעתנו, זהו הצעד הראשון בו יש לנקוט מיד לאחר שהדומיין שלכם הופך לפעיל, מהסיבה הפשוטה שפרוטוקול DNS (מערכת שמות מתחם), אשר הדומיין שלכם הוא חלק ממנו, אינו בטוח כלל.
הגדרת אבטחת DNSSEC דרך ממשק ניהול הדומיין
כדי להגדיר את הדומיין שלכם כך שיפעל עם פרוטוקול DNSSEC, עליכם להשתמש בממשק ניהול הדומיין שלנו.
א. היכנסו ל-איזור הלקוחות ב-אתר שלנו. באיזור הלקוחות, הזינו שם משתמש וסיסמה והקליקו על “כניסה לאתר” כדי להיכנס ל-ממשק המשתמש האישי שלכם.

ב. באיזור הלקוחות, בעמוד הבית, הקליקו על התיבה המונה את כמות הדומיינים שיש לכם אצל Jetserver.

או:
בכל עמוד באיזור הלקוחות, בתפריט מצד ימין, הקליקו על דומיינים.

בתפריט שיפתח, הקליקו על הדומיינים שלכם.

או:
באיזור הלקוחות, בפינה השמאלית העליונה, הקליקו על שמכם.

בתפריט שיפתח, הקליקו על דומיינים.

ג. בפניכם יפתח עמוד ניהול הדומיינים שלכם.

ד. מצאו את הדומיין אשר עבורו אתם רוצים לבצע הגדרת אבטחת DNSSEC. משמצאתם אותו, הקליקו על הסמל
תחת עמודת פעולות.

ה. בתפריט שיפתח בפניכם, הקליקו על DNSSEC.

ו. בפניכם יפתח מסך הפעלת DNSSEC. המסך יכלול הסבר קצר על פרוטוקול DNSSEC, וחיווי האם DNSSEC מופעל בדומיין או לא.
אם אם DNSSEC לא מופעל, הסטטוס יהיה מושבת, ומתג ההפעלה יהיה בצבע אדום
.

ז. כדי להפעיל את הגדרת אבטחת DNSSEC בדומיין שלכם, הקליקו על מתג ההפעלה.

ח. אם הקמתם הגדרות DNS ואנחנו ספק ה-DNS שלכם, המערכת תשתמש ברשומות שלכם לשם הגדרת אבטחת DNSSEC בדומיין.
אם אין לכם הגדרות DNS במערכת שלנו, או שאתם משתמשים בשירותיו של ספק DNS חיצוני (שהוא לא אנחנו), תצטרכו להזין את הפרטים הנחוצים להקמת רשומות ולחתימות הדיגיטליות המוצפנות באופן ידני, ולהקליק על הגשה.

ט. לאחר כמה שניות, המערכת תפעיל את הרחבת DNSSEC (כלומר, תוסיף רשומות מתאימות) על הדומיין שלכם – סטטוס DNSSEC יהיה פעיל, והמתג ישנה את צבעו לטורקיז
. בנוסף, המערכת תודיע לכם כי DNSSEC הופעל בהצלחה.

כלומר, החל מעכשיו, הרחבת DNSSEC פועלת בדומיין שלכם.
זכרו כי כל עוד הגדרת אבטחת DNSSEC מופעלת, לא תוכלו לשנות את שרתי השמות של הדומיין, או להעביר את הדומיין לרשם דומיינים או לספק DNS אשר אינם תומכים ב-DNSSEC.
כדי לבצע את הפעולות הללו, עליכם לבטל את הפעלת DNSSEC דרך איזור הלקוחות, ולהמתין בין 24 ל-48 שעות לשינוי הרשומות בשרת ה-DNS האיזורי.
בשימוש ברשומות שלנו, המערכת בוחרת באלגוריתם הצפנה (Algorithm) מספר 8 (RSASHA256) ובסוג התמצות (Digest Type) מספר 2 (SHA256) באופן אוטומטי.
הקמת רשומות DNS לדומיין
אם הדומיין שלכם חדש וללא רשומות DNS, כדי לבצע הגדרת אבטחת DNSSEC, עליכם להקים רשומות DNS לדומיין כצעד מקדים.
כדי להקים רשומות DNS לדומיין, בעמוד הדומיינים שלכם, מצאו את הדומיין שעבורו אתם רוצים ליצור הגדרת אבטחת DNSSEC.
תחת עמודת ניהול DNS, הקליקו על ניהול.

בפניכם יפתח עמוד הגדרת רשומות ה-DNS עבור הדומיין.
מפני שהגדרות ה-DNS עוד לא הוקמו, המערכת תודיע לכם ש-לא נמצאו הגדרות DNS עבור הדומיין – כלומר, עוד לא נוצרו עבורו רשומות DNS. המערכת תשאל אתכם האם תרצו להקים הגדרות DNS עבור הדומיין.

כדי להקים הגדרות DNS עבור הדומיין שלכם, הקליקו על כן, הגדירו את הדומיין.

המתינו כמה שניות בזמן שהמערכת מקימה רשומות DNS לדומיין שלכם.
בתום כמה שניות, עמוד הגדרת רשומות ה-DNS ישתנה ויציג את רשומות ה-DNS החדשות שלכם.

הזנת הפרטים באופן ידני
אם אתם משתמשים בשירותיו של ספק DNS חיצוני (שהוא לא אנחנו), המערכת לא תוכל להפעיל את אבטחת ה-DNSSEC באופן אוטומטי. כדי להפעיל אותה, עליכם להזין:
- Key Tag (תג המפתח) – מספר מזהה קצר למפתח חתימת-המפתח (KSK) שלכם.
- Algorithm (אלגוריתם הצפנה) – אלגוריתם הצפנה אשר ישמש כדי לחתום על הרשומות של המתחם (וליצור את רשומות DNSKEY ו-RRSIG).
במקום להציג את שמותיהם המלאים של אלגוריתמי ההצפנה, הם ממוספרים באמצעות מספרים חד-ספרתיים ודו-ספרתיים. זאת על מנת לחסוך בנפח חבילות נתונים (Packets), לפשט את עיבוד הנתונים על ידי מערכת ה-DNS העולמית, וכדי לשמור על עקביות בגירסאות. כדי שלא תצטרכו לבזבז זמן ולבדוק בעצמכם, זוהי המשמעות של מספרי האלגוריתמים:
3 – DSA-SHA1
5 – RSA-SHA1
6 – DSA-NSEC3-SHA1
7 – RSASHA1-NSEC3-SHA1
8 – RSASHA256
10 – RSASHA512
13 – ECDSAP256SHA256
14 – ECDSAP384SHA384
- Digest Type (סוג התמצות) – אלגוריתם הגיבוב (hashing) שבאמצעותו תיווצר רשומת DS, אשר משמשת לייצורו של זיהוי מפתח חתימת-המפתח הציבורי של הדומיין שלכם.
- Digest (תמצות) – הגיבוב (hash) של מפתח חתימת-המפתח (KSK).

- הערה – אם אינכם משתמשים בשרתי השמות שלנו, המערכת תודיע לכם על כך.
מאיפה אפשר להשיג את הנתונים האלה?
אופן השגת הנתונים משתנה כתלות בספק ה-DNS שלכם, בהתאם לפלטפורמה ולממשק. עם זאת, העיקרון הוא אותו העיקרון: עליכם להפעיל את הגנת DNSSEC אצל ספק ה-DNS, או לאפשר לו ליצור חתימה קריפטוגרפית לשם כך. או אז, הספק יציג בפניכם את הנתונים הנדרשים להזנה, או שתוכלו לגשת לרשומת DS ולהעתיק אותם בעצמכם. לאחר מכן, תוכלו להשיג את הנתונים הנדרשים לשם הפעלת הגנת DNSSEC באופן ידני אצלנו.
לדוגמה, פרטי רשומת DS מ-Cloudflare:

דרכים נוספות להשגת הפרטים (להצגת רשומת DS):
- כלים לבדיקת דומיין ו-DNS: חלק מהכלים לבדיקת דומיין ו-DNS, כמו mxtoolbox.com או dnschecker.org, מאפשרים להציג את רשומת DS אם יצרתם אחת כזו על ידי ספק DNS חיצוני.

- דרך הטרמינל (במערכות Linux): באמצעות פקודת
digוהוספה ספציפית של רשומת DS, ניתן לבצע בדיקה בשרתי DNS גדולים, כמו השרת של גוגל (8.8.8.8). אם הרשומות והחתימות עודכנו (כלומר, הפְעַלְתֶּם DNSSEC אצל ספק ה-DNS שלכם ועברו בערך 48 שעות), תוכלו להציג בטרמינל את תוכנה של רשומת DS של הדומיין שלכם.
לדוגמה:dig @8.8.8.8 kipodov.co.il DS

הסתבכתם? משהו לא עובד או לא ברור? יש לכם שאלות? צרו איתנו קשר.
השותפים שלנו