DNSSEC

คำแนะนำสำหรับผู้ถือครองชื่อโดเมน ที่อยากความปลอดภัยด้วย DNSSEC

DNSSEC คืออะไร?

DNSSEC ทำงานโดยจัดให้มีกระบวนการตรวจสอบคำตอบที่ได้รับว่ามาจาก Nameserver ที่เป็นปลายทางตัวจริงหรือไม่ ด้วยกระบวนการระบบกุญแจคู่แบบ Asymmatic key ที่ประกอบไปด้วย Public และ Private key.

Cloudflare DNSSEC

DNSSEC บริการด้านการรักษาความปลอดภัยให้แก่ผู้ถือครองชื่อโดเมนภายใต้ เช่น .com, .th และอื่น ๆ เป็นต้น เจ้าของโดเมนสามารถเพิ่ม DS Record ได้เองหรือผ่านผู้แทนจำหน่าย เช่น Hosting provider หรือ DNS provider เมื่อคุณเปิด DNSSEC จะใช้เวลาประมาณ 30 นาทีในการเปิดใช้งาน DNSSEC โดยสมบูรณ์  หรือ delay ก็ประมาณ 1-2 ชั่วโมงครับ โดยต้องติดตั้ง DNSSEC ที่เครื่อง DNS Server ของเราก่อน หรือเปิดใช้งาน DNSSEC ของระบบจัดการโดเมน เช่น บน Cloudflare DNS.

Cr image: nic.ch/security
Cr image: nic.ch/security

วิธีเปิดใช้งาน DNSSEC บน Cloudflare DNS

ขั้นตอน:

  1. ล็อกอินเข้าระบบ Cloudflare dashboard.
  2. ตรวจสอบให้แน่ใจว่าได้เลือกโดเมนสำหรับ DS record ที่คุณต้องการหรือยัง
  3. คลิ๊กที่แท็บ DNS
  4. Scroll down ลงมาที่ DNSSEC
  5. คลิ๊กที่ Enable DNSSEC
    จะขึ้นหน้าต่างแสดงข้อมูลคอนฟิก DS record ให้นำค่าตรงนี้ไปเพิ่มใน DNSSEC ของนายทะเบียนชื่อโดเมน (registrar)
  6. คลิ๊ก DS Record dropdown ที่ DNSSEC panel.

จากนั้นให้เพิ่ม DS record บนระบบ Domain registrar โดยการเพิ่ม DS record สำหรับบนระบบ Google Domains จะใช้เวลาประมาณ 10-15 นาทีในการ update ข้อมูล DNSSEC

วิธีการการเพิ่ม DS record  สำหรับบนระบบ THNIC

ทีเอชนิคเป็นนายทะเบียนชื่อโดเมนภายใต้ .th จะใช้เวลาประมาณ 20-30 นาทีในการ update ข้อมูล DNSSEC

สำหรับผู้แทนจำหน่าย (Hosting, DNS provider) สำหรับเจ้าของโดเมนที่ไม่ได้จดตรงกับ THNIC แต่จดโดเมนผ่านผู้ให้บริการ Hosting จะมีขั้นตอนนั้นนี้

ขั้นตอน:

  1. ติดต่อผู้ที่ดูแลโดเมนให้เรา เช่น ให้บริการ Hosting หรือ DNS provider
  2. ส่งรายละเอียด DS data ที่ได้จาก Cloudflare ให้ผู้ดูแลโดเมน
  3. จากนั้นผู้ที่ดูแลโดเมนให้เราจะเข้าระบบของ THNIC เพื่อ update ข้อมูล DNSSEC ให้เราเอง

เป็นอันสำเร็จครับ (รอ…update)

วิธีการเปลี่ยน Nameserver ไปใช้ Cloudflare DNS

ปัจจัยที่มีผลต่อการเปลี่ยนแปลงเนมเซิร์ฟเวอร์บนโดเมนของเราคือ การตั้งค่า TTL (Time to Live) โดยทุกๆ เรคคอร์ต DNS จะมีการตั้งค่า TTL มีหน่วยเป็นวินาที

ค่า TTL คือ ระยะเวลาที่เซิร์ฟเวอร์จะทำการอัพเดตข้อมูลของเรคคอร์ด DNS ของเรา
ยกตัวอย่างขั้นตอน 

  1. สมมุติว่าคุณจดโดเมนกับ THNIC แต่ใช้บริการ DNS เซิร์ฟเวอร์ของผู้ให้บริการอินเทอร์เน็ต (ISP) หรือผู้ให้บริการ Hosting เพื่อเก็บข้อมูลเรคคอร์ด DNS ของเรา
  2. ค่า DNS เดิมเช่น domain.co.th ชี้ Nameserver ไปที่ ns1.isp.co.th และ ns2.isp.co.th
  3. สมมุติว่าคุณอัพเดตข้อมูล DNS www.domain.co.th จากเดิมไอพีแอดเดรส 123.123.1.1 ไปเป็นค่าใหม่ไอพีแอดเดรส 123.123.2.2 
  4. กาคุณตั้งค่า TTL เท่ากับ 300 (5 นาที) DNS เรคคอร์ด www.domain.co.th จะยังไม่มีผลอัพเดตไปเป็นไอพีแอดเดรสใหม่ในทันที แต่ต้องรอไปอีก 5-10 นาที ที่ผู้ให้บริการอินเตอร์เน็ตจากทั่วโลกจะรู้จัก DNS เรคคอร์ดไอพีแอดเรดสใหม่นี้ (123.123.2.2
  5. เมื่อครบ 5 นาที เมื่อลอง ping www.domain.co.th ดูก็จะได้ไอพีแอดเดรสใหม่

แต่กรณีที่แค่เปลี่ยนเนมเซิร์ฟเวอร์ เช่น เปลี่ยนไปใช้ Cloudflare DNS ทุกเรคคอร์ดจะอัพเดตโดยใช้เวลาประมาณ 30-40 นาที เพื่อ ISP ต่าง ๆ ทั่วโลกอัพเดตครับ

หรือบางกรณีคุณอาจยังจำเป็นที่ต้องใช้บริการเนมเซิร์ฟเวอร์ของ ISP/DNS providers ที่ Cloudflare DNS คุณต้องทำการเพิ่มเรคคอร์ด NS และ DS เรคคอร์ด บน Cloudflare DNS (ดังรูป) 

ขั้นตอนการติดต่อดำเนินการ:

ติดต่อผู้ที่ดูแลโดเมนให้เรา แจ้งให้ update ค่า Nameserver เป็นของ Cloudflare

  1. หลักจากที่ Nameserver อับเดตแล้ว
    (ถึงทำการเปิดใช้ DNSSEC เพื่อที่จะไม่ให้เซิร์ฟเวอร์ทำการถาม DS/RRSIG records คือเปิด DNSSEC ที่หลัง)
  2. ส่งรายละเอียด DS data ที่ได้จาก Cloudflare ให้ผู้ดูแลโดเมน เป็นอันเสร็จสิ้นครับ

เมื่อทุกอย่างเรียบร้อยแล้วให้ทำการ query ตรวจสอบด้วย command-line คำสั่ง dig เช่น

  • Query a nameserver สำหรับ DNS records

dig www.domain.com +short

  • Verify DNSSEC records (จากแสดง RRSIG record

dig www.domain.com +dnssec +short

  • ใช้ public key เพื่อ verify DNS record

ตัวอย่าง DNS response จะโชว์ 2 records:

DNSKEY record 256 is the public key called Zone-signing-key, used to verify the DNS record signatures for A, MX, CNAME, SRV, etc.

DNSKEY record 257 is called the Key-Signing Key, used to verify the signatures of the DNSKEY, CDS, and CDNSKEY records.

วิธีการย้ายโดเมนออกจากระบบผู้แทนจำหน่าย

  1. ส่งเอกสารขอเปลี่ยนแปลงผู้ดูแลโดเมน
    เอกสารออกโดย “บริษัท …. จำกัด”
    ลงนามโดยกรรมการผู้มีอำนาจ พร้อมประทับตราสำคัญ
    ตัวอย่างเอกสารดูได้ที่ ////www.thnic.co.th/doc/change_login_th.pdf
  2. ถ้าผู้ดูแลโดเมนเรารายเดิมเป็นผู้แทนจำหน่าของทีเอชนิค
    การย้ายโดเมนออกจากระบบผู้แทนจำหน่าย จำเป็นต้องชำระเงินค่าต่ออายุโดเมนให้แก่
    บริษัท ที.เอช.นิค จำกัด เป็นระยะเวลาอย่างน้อย 1 ปี เป็นเงิน xxx บาท (แม้ว่าโดเมนจะยังไม่หมดอายุ) ติดต่ออีเมล support @ thnic.co.th เป็นอันเสร็จสิ้นครับ

* กรณีที่แค่เปลี่ยนเนมเซิร์ฟเวอร์ เช่น เปลี่ยนไปใช้ Cloudflare DNS ทุกเรคคอร์ดจะอัพเดตโดยใช้เวลาประมาณ 30-40 นาที เพื่อ ISP ต่าง ๆ ทั่วโลกอัพเดตครับ

** หรือบางกรณีคุณอาจยังจำเป็นที่ต้องใช้บริการเนมเซิร์ฟเวอร์ของ ISP/DNS providers อยู่
เช่น บริการ email relay (subdomain.domain.co.th) ดังนั้นบน Cloudflare DNS คุณต้องทำการเพิ่มเรคคอร์ด NS และ DS เรคคอร์ด ข้อมูลให้กับ Domain ด้วย (ดังรูป) 

Cloudflare DNS

🧑‍💻🔥 คำเตือน: Secondary DNS zone is available for domains on Enterprise plans.
สำหรับแพลนเวอร์ Free, Pro และ Business ไม่สามารถสร้าง zone ไฟล์สำหรับ subdomain ได้นะครับ
ดังนั้นหากต้องการสร้าง Zone ไฟล์สำหรับ Subdomain ต้องควักตังค์จ่าย Enterprise plan เท่านั้น! ^^

source: Cloudflare, Google Domains, DNSSEC

Scroll to top
X