Studiu de caz .RO — de la rezervare la DNS complet (A/AAAA, CNAME, MX, TXT, CAA, DNSSEC)
În acest studiu de caz configurăm cap-coadă un domeniu .ro proaspăt: de la rezervare și validare titular, până la DNS corect pentru site și e-mail (A/AAAA, CNAME, MX, SPF/DKIM/DMARC), CAA pentru controlul emiterii certificatelor și DNSSEC pentru protecția integrității. La final ai un checklist scurt și comenzi de verificare.
Context & obiectiv
Presupunem că ai un domeniu exemplu.ro rezervat/înregistrat și dorești:
- Site pe HTTPS cu www → non-www (sau invers) prin 301.
- E-mail funcțional și livrabil: MX, SPF/DKIM/DMARC.
- Control al emiterii certificatelor prin CAA.
- Protecție la nivel de registru prin DNSSEC.
Lucrăm cu valori exemplificative — înlocuiește IP-urile, hosturile și domeniile furnizorilor tăi.
Rezervare/înregistrare .ro: ce pregătim
Date titular & contact
Asigură-te că datele sunt corecte (nume/firmă, CUI unde e cazul, adresă, e-mail, telefon). E-mailul de contact trebuie să fie valid pentru notificări.
Nameservere
Dacă folosești nameservere ale hostingului (ex: ns1.host.ro, ns2.host.ro), setează-le la înregistrare. Alternativ, menține NS implicit și creează zona într-un DNS gestionat (apoi comuți NS).
Plan DNS
Decide varianta canonică (www sau non-www), IP-urile serverului (A/AAAA), furnizorul de e-mail (MX), și ce terți trimit e-mail (SPF).
Zona DNS: A/AAAA, CNAME, MX, TXT, CAA
Exemplu de zonă (stil BIND)
$ORIGIN exemplu.ro.
$TTL 3600
@ IN SOA ns1.host.ro. dns.exemplu.ro. (2025081601 7200 3600 1209600 3600)
IN NS ns1.host.ro.
IN NS ns2.host.ro.
; Site (IPv4/IPv6)
@ IN A 203.0.113.10
@ IN AAAA 2001:db8::10
www IN CNAME @
; E-mail
@ IN MX 10 mail.exemplu.ro.
mail IN A 203.0.113.20
; SPF minimal (hosting + MX)
@ IN TXT "v=spf1 a mx -all"
; DKIM (cheie publică 2048-bit, trunchiată aici)
mail2025._domainkey IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq...AQAB"
; DMARC monitorizare → apoi quarantine/reject
_dmarc IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-rapoarte@exemplu.ro; adkim=s; aspf=s"
; CAA — permite doar CA-urile dorite (ex: Let’s Encrypt și Buypass)
@ IN CAA 0 issue "letsencrypt.org"
@ IN CAA 0 issue "buypass.com"
@ IN CAA 0 iodef "mailto:security@exemplu.ro"
Observații: www ca CNAME spre rădăcină simplifică migrarea; MX punctează la un host propriu sau la furnizorul tău (înlocuiește cu valorile reale). SPF permite doar A/AAAA + MX (sau include: furnizor).
SPF: include pentru furnizori
Dacă folosești un serviciu extern (ex. newsletter), adaugă include: indicat de furnizor:
@ IN TXT "v=spf1 a mx include:spf.furnizor-mail.com -all"DKIM: selectori multipli
Poți avea mai mulți selectori (ex: mail2025, saas2025) pentru aplicații diferite; publici câte un _domainkey per selector.
DMARC: întărire treptată
Pornește cu p=none + rua; după 1–2 săpt. treci la p=quarantine, apoi p=reject când tot traficul legitim e aliniat.
DNSSEC pentru .ro: chei, DS și pași
- Activează DNSSEC în serviciul tău DNS (sau cere providerului). Se generează KSK/ZSK și se semnează zona.
- Obține înregistrarea DS (Key Tag, Algorithm, Digest Type, Digest) din panoul DNS.
- Adaugă DS la registrarul .RO prin interfața domeniului (sau prin suport). DS leagă registrul .ro de cheia ta KSK.
- Verifică lanțul cu un validator DNSSEC (vezi mai jos comenzi). Dacă e ok, rezolvatoarele validează semnăturile.
Păstrează backup pentru chei. La rotație, publică noul DS înainte să retragi vechiul KSK, evitând „orphaned DS”.
Validare cu dig & verificări e-mail
DNS
# A/AAAA/CNAME
dig +short A exemplu.ro
dig +short AAAA exemplu.ro
dig +short CNAME www.exemplu.ro
# MX + SPF + DMARC + DKIM
dig +short MX exemplu.ro
dig +short TXT exemplu.ro
dig +short TXT _dmarc.exemplu.ro
dig +short TXT mail2025._domainkey.exemplu.ro
# CAA
dig +short CAA exemplu.ro
# DNSSEC (AD=Authenticated Data dacă rezolvatorul validează)
dig A exemplu.ro +dnssec
- Trimite un mesaj de test din domeniul tău; în headere caută
spf=pass,dkim=pass,dmarc=pass. - Analizează rapoartele
rua=(agregate) pentru DMARC; identifică sursele nealiniate.
Migrare sigură: TTL mic, comutări și rollback
- Redu TTL la 300–900 sec cu 24h înainte de schimbări majore (mutare IP, comutare nameservere).
- Clonează zona dacă muți administrarea DNS; abia apoi schimbă nameservere la .ro.
- Monitorizează erorile HTTP/SMTP, logurile și alertele după fiecare pas; revino rapid la varianta anterioară dacă apar probleme.
Troubleshooting: erori frecvente & rezolvări
Site nu se încarcă pe www
Lipsește CNAME www → @ sau canonicalul nu e configurat corect. Adaugă intrarea și setează redirect 301 unic.
E-mail intră în spam
Verifică SPF/DKIM/DMARC; adaugă include: corect pentru furnizori; aliniază From: cu domeniul semnat.
Certificat TLS nu se emite
CAA blochează CA greșită sau /.well-known/acme-challenge/ e redirecționat; permite excepția temporară ori folosește challenge DNS-01.
DNSSEC invalid
DS greșit (digest/algoritm), lipsă chei în zonă sau rotație incorectă. Revalidează parametrii DS și semnăturile.
Checklist final (1 pagină)
- ✅ Rădăcină
A/AAAAcorectă;www→CNAME @; - ✅
MXcătre serverul/furnizorul tău; - ✅
SPFunic la@(≤10 lookups),DKIM2048-bit,DMARCcu raportare; - ✅
CAApentru CA-urile permise (și IODEF de contact); - ✅ DNSSEC activ: DS corect la registrar, semnături valide;
- ✅ Redirect 301 unic către varianta canonică + HTTPS permanent;
- ✅ Validări
digși teste e-mail (spf/dkim/dmarc=pass); - ✅ TTL mic pentru ferestre de migrare; monitorizare 24–72h.
Întrebări rapide
Am nevoie de IPv6 (AAAA)?
Recomandat. Oferă acces direct clienților pe IPv6 și îmbunătățește compatibilitatea rețelelor moderne.
Trebuie să folosesc www?
Poți alege cu sau fără. Important e să stabilești un canonical unic și să redirecționezi toate celelalte variante către el.
Pot configura e-mail fără mail.exemplu.ro?
Da, MX poate puncta la un host al furnizorului (ex. mx.saas-mail.com). Păstrează însă SPF/DKIM/DMARC corecte.
DNSSEC îmi încetinește rezolvarea?
Nu semnificativ. Beneficiul de securitate (integritate) depășește costul minim de validare.