DNSSEC คืออะไร?
DNSSEC ทำงานโดยจัดให้มีกระบวนการตรวจสอบคำตอบที่ได้รับว่ามาจาก Nameserver ที่เป็นปลายทางตัวจริงหรือไม่ ด้วยกระบวนการระบบกุญแจคู่แบบ Asymmatic key ที่ประกอบไปด้วย Public และ Private key.
DNSSEC บริการด้านการรักษาความปลอดภัยให้แก่ผู้ถือครองชื่อโดเมนภายใต้ เช่น .com, .th และอื่น ๆ เป็นต้น เจ้าของโดเมนสามารถเพิ่ม DS Record ได้เองหรือผ่านผู้แทนจำหน่าย เช่น Hosting provider หรือ DNS provider เมื่อคุณเปิด DNSSEC จะใช้เวลาประมาณ 30 นาทีในการเปิดใช้งาน DNSSEC โดยสมบูรณ์ หรือ delay ก็ประมาณ 1-2 ชั่วโมงครับ โดยต้องติดตั้ง DNSSEC ที่เครื่อง DNS Server ของเราก่อน หรือเปิดใช้งาน DNSSEC ของระบบจัดการโดเมน เช่น บน Cloudflare DNS.
วิธีเปิดใช้งาน DNSSEC บน Cloudflare DNS
ขั้นตอน:
- ล็อกอินเข้าระบบ Cloudflare dashboard.
- ตรวจสอบให้แน่ใจว่าได้เลือกโดเมนสำหรับ DS record ที่คุณต้องการหรือยัง
- คลิ๊กที่แท็บ DNS
- Scroll down ลงมาที่ DNSSEC
- คลิ๊กที่ Enable DNSSEC
จะขึ้นหน้าต่างแสดงข้อมูลคอนฟิก DS record ให้นำค่าตรงนี้ไปเพิ่มใน DNSSEC ของนายทะเบียนชื่อโดเมน (registrar) - คลิ๊ก DS Record dropdown ที่ DNSSEC panel.
จากนั้นให้เพิ่ม DS record บนระบบ Domain registrar โดยการเพิ่ม DS record สำหรับบนระบบ Google Domains จะใช้เวลาประมาณ 10-15 นาทีในการ update ข้อมูล DNSSEC
วิธีการการเพิ่ม DS record สำหรับบนระบบ THNIC
ทีเอชนิคเป็นนายทะเบียนชื่อโดเมนภายใต้ .th จะใช้เวลาประมาณ 20-30 นาทีในการ update ข้อมูล DNSSEC
สำหรับผู้แทนจำหน่าย (Hosting, DNS provider) สำหรับเจ้าของโดเมนที่ไม่ได้จดตรงกับ THNIC แต่จดโดเมนผ่านผู้ให้บริการ Hosting จะมีขั้นตอนนั้นนี้
ขั้นตอน:
- ติดต่อผู้ที่ดูแลโดเมนให้เรา เช่น ให้บริการ Hosting หรือ DNS provider
- ส่งรายละเอียด DS data ที่ได้จาก Cloudflare ให้ผู้ดูแลโดเมน
- จากนั้นผู้ที่ดูแลโดเมนให้เราจะเข้าระบบของ THNIC เพื่อ update ข้อมูล DNSSEC ให้เราเอง
เป็นอันสำเร็จครับ (รอ…update)
วิธีการเปลี่ยน Nameserver ไปใช้ Cloudflare DNS
ปัจจัยที่มีผลต่อการเปลี่ยนแปลงเนมเซิร์ฟเวอร์บนโดเมนของเราคือ การตั้งค่า TTL (Time to Live) โดยทุกๆ เรคคอร์ต DNS จะมีการตั้งค่า TTL มีหน่วยเป็นวินาที
ค่า TTL คือ ระยะเวลาที่เซิร์ฟเวอร์จะทำการอัพเดตข้อมูลของเรคคอร์ด DNS ของเรา
ยกตัวอย่างขั้นตอน
- สมมุติว่าคุณจดโดเมนกับ THNIC แต่ใช้บริการ DNS เซิร์ฟเวอร์ของผู้ให้บริการอินเทอร์เน็ต (ISP) หรือผู้ให้บริการ Hosting เพื่อเก็บข้อมูลเรคคอร์ด DNS ของเรา
- ค่า DNS เดิมเช่น domain.co.th ชี้ Nameserver ไปที่ ns1.isp.co.th และ ns2.isp.co.th
- สมมุติว่าคุณอัพเดตข้อมูล DNS www.domain.co.th จากเดิมไอพีแอดเดรส 123.123.1.1 ไปเป็นค่าใหม่ไอพีแอดเดรส 123.123.2.2
- กาคุณตั้งค่า TTL เท่ากับ 300 (5 นาที) DNS เรคคอร์ด www.domain.co.th จะยังไม่มีผลอัพเดตไปเป็นไอพีแอดเดรสใหม่ในทันที แต่ต้องรอไปอีก 5-10 นาที ที่ผู้ให้บริการอินเตอร์เน็ตจากทั่วโลกจะรู้จัก DNS เรคคอร์ดไอพีแอดเรดสใหม่นี้ (123.123.2.2)
- เมื่อครบ 5 นาที เมื่อลอง ping www.domain.co.th ดูก็จะได้ไอพีแอดเดรสใหม่
แต่กรณีที่แค่เปลี่ยนเนมเซิร์ฟเวอร์ เช่น เปลี่ยนไปใช้ Cloudflare DNS ทุกเรคคอร์ดจะอัพเดตโดยใช้เวลาประมาณ 30-40 นาที เพื่อ ISP ต่าง ๆ ทั่วโลกอัพเดตครับ
หรือบางกรณีคุณอาจยังจำเป็นที่ต้องใช้บริการเนมเซิร์ฟเวอร์ของ ISP/DNS providers ที่ Cloudflare DNS คุณต้องทำการเพิ่มเรคคอร์ด NS และ DS เรคคอร์ด บน Cloudflare DNS (ดังรูป)
ขั้นตอนการติดต่อดำเนินการ:
ติดต่อผู้ที่ดูแลโดเมนให้เรา แจ้งให้ update ค่า Nameserver เป็นของ Cloudflare
- หลักจากที่ Nameserver อับเดตแล้ว
(ถึงทำการเปิดใช้ DNSSEC เพื่อที่จะไม่ให้เซิร์ฟเวอร์ทำการถาม DS/RRSIG records คือเปิด DNSSEC ที่หลัง) - ส่งรายละเอียด DS data ที่ได้จาก Cloudflare ให้ผู้ดูแลโดเมน เป็นอันเสร็จสิ้นครับ
เมื่อทุกอย่างเรียบร้อยแล้วให้ทำการ query ตรวจสอบด้วย command-line คำสั่ง dig เช่น
- Query a nameserver สำหรับ DNS records
dig www.domain.com +short
- Verify DNSSEC records (จากแสดง RRSIG record
dig www.domain.com +dnssec +short
- ใช้ public key เพื่อ verify DNS record
ตัวอย่าง DNS response จะโชว์ 2 records:
DNSKEY record 256 is the public key called Zone-signing-key, used to verify the DNS record signatures for A, MX, CNAME, SRV, etc.
DNSKEY record 257 is called the Key-Signing Key, used to verify the signatures of the DNSKEY, CDS, and CDNSKEY records.
วิธีการย้ายโดเมนออกจากระบบผู้แทนจำหน่าย
- ส่งเอกสารขอเปลี่ยนแปลงผู้ดูแลโดเมน
เอกสารออกโดย “บริษัท …. จำกัด”
ลงนามโดยกรรมการผู้มีอำนาจ พร้อมประทับตราสำคัญ
ตัวอย่างเอกสารดูได้ที่ ////www.thnic.co.th/doc/change_login_th.pdf - ถ้าผู้ดูแลโดเมนเรารายเดิมเป็นผู้แทนจำหน่าของทีเอชนิค
การย้ายโดเมนออกจากระบบผู้แทนจำหน่าย จำเป็นต้องชำระเงินค่าต่ออายุโดเมนให้แก่
บริษัท ที.เอช.นิค จำกัด เป็นระยะเวลาอย่างน้อย 1 ปี เป็นเงิน xxx บาท (แม้ว่าโดเมนจะยังไม่หมดอายุ) ติดต่ออีเมล support @ thnic.co.th เป็นอันเสร็จสิ้นครับ
* กรณีที่แค่เปลี่ยนเนมเซิร์ฟเวอร์ เช่น เปลี่ยนไปใช้ Cloudflare DNS ทุกเรคคอร์ดจะอัพเดตโดยใช้เวลาประมาณ 30-40 นาที เพื่อ ISP ต่าง ๆ ทั่วโลกอัพเดตครับ
** หรือบางกรณีคุณอาจยังจำเป็นที่ต้องใช้บริการเนมเซิร์ฟเวอร์ของ ISP/DNS providers อยู่
เช่น บริการ email relay (subdomain.domain.co.th) ดังนั้นบน Cloudflare DNS คุณต้องทำการเพิ่มเรคคอร์ด NS และ DS เรคคอร์ด ข้อมูลให้กับ Domain ด้วย
คำเตือน: Secondary DNS zone is available for domains on Enterprise plans.
สำหรับแพลนเวอร์ Free, Pro และ Business ไม่สามารถสร้าง zone ไฟล์สำหรับ subdomain ได้นะครับ
ดังนั้นหากต้องการสร้าง Zone ไฟล์สำหรับ Subdomain ต้องควักตังค์จ่าย Enterprise plan เท่านั้น! ^^
source: Cloudflare, Google Domains, DNSSEC