Community
Articles
61
HostiServer
2026-03-16 12:52:00

Як працює DNS: записи, propagation, діагностика та безпека

⏱️ Час читання: ~9 хвилин | 📅 Оновлено: 16 березня 2026

Чому сайт не працює якщо "все правильно налаштовано"

Клієнт переніс сайт на новий сервер. IP змінився, A-запис оновлений, сервер працює. Але половина користувачів бачить старий сайт, а друга половина — помилку. Підтримка провайдера каже "зачекайте 48 годин". Клієнт нервує, бо щогодини втрачає замовлення.

Причина — DNS. Точніше, нерозуміння як він працює. Якби клієнт знизив TTL за добу до переїзду — проблема б тривала 5 хвилин замість двох діб.

DNS (Domain Name System) — це те що перетворює hostiserver.com в IP-адресу сервера. Система яка працює мільярди разів на день і непомітна — поки щось не зламається. У цьому гайді розберемо як DNS працює під капотом, як не наступити на граблі при міграції, і які записи потрібно налаштувати щоб пошта не летіла в спам.

Як DNS-запит проходить від браузера до сервера

Коли ви набираєте адресу сайту, відбувається ланцюжок запитів. Весь процес займає 20-100 мс, але за цей час задіюються до 4 типів серверів.

Ось як це виглядає:

Браузер → Кеш ОС → Recursive Resolver → Root Server → TLD Server (.com) → Authoritative Server → IP-адреса!
                         (8.8.8.8)         ("хто .com?")   ("хто example.com?")   ("93.184.216.34")

Крок за кроком

1. Локальний кеш — браузер перевіряє чи він вже знає IP цього домену. Якщо ви відвідували сайт раніше і TTL ще не вичерпався — запит далі не йде. Це найшвидший варіант: 0 мс.

2. Recursive resolver — якщо в кеші немає, запит йде до рекурсивного DNS-сервера. Це може бути сервер вашого провайдера або публічний DNS (Google 8.8.8.8, Cloudflare 1.1.1.1). Цей сервер бере на себе всю подальшу роботу.

3. Root-сервери — resolver питає один з 13 кореневих серверів: "Де шукати домени .com?" Root-сервер не знає IP конкретного сайту, але знає хто відповідає за зону .com.

4. TLD-сервери — сервер зони .com каже: "За example.com відповідають ось такі name-сервери." І дає їхню адресу.

5. Авторитативний сервер — фінальна точка. Він містить фактичні DNS-записи домену і повертає IP-адресу — наприклад, 93.184.216.34.

6. Кешування — результат зберігається на кожному рівні (resolver, ОС, браузер) на час TTL. Наступний запит до цього ж домену обробиться за 1-5 мс.

💡 На практиці: 90% DNS-запитів не доходять далі recursive resolver — відповідь вже в кеші. Тому DNS "повільний" тільки при першому зверненні до нового домену. Все інше — миттєво.

4 типи DNS-серверів

Тип сервера Роль Приклад
Recursive resolver Приймає запит від клієнта і шукає відповідь через інші сервери Google 8.8.8.8, Cloudflare 1.1.1.1, DNS провайдера
Root server Перенаправляє на TLD-сервер відповідної зони (.com, .org, .ua) 13 кореневих серверів (a.root-servers.net — m.root-servers.net)
TLD server Знає які name-сервери відповідають за конкретний домен Сервери Verisign для .com, UANIC для .ua
Authoritative server Містить фактичні DNS-записи домену (A, MX, TXT тощо) ns1.your-hosting.com

DNS-записи: що, навіщо і як налаштувати

DNS-записи — це інструкції що говорять серверам як обробляти запити до вашого домену. Кожен тип запису відповідає за свою функцію.

Основні типи записів

Запис Призначення Приклад значення
A Зв'язує домен з IPv4-адресою 93.184.216.34
AAAA Те саме для IPv6 2001:0db8:85a3::8a2e:0370:7334
CNAME Псевдонім — перенаправляє один домен на інший www → example.com
MX Поштовий сервер для домену (з пріоритетом) 10 mail.example.com
TXT Текстова інформація — верифікація, SPF, DKIM v=spf1 include:_spf.google.com ~all
NS Name-сервери які обслуговують домен ns1.your-hosting.com
SRV Вказує порт та хост для конкретного сервісу _sip._tcp.example.com 5060
CAA Обмежує хто може видавати SSL-сертифікати для домену 0 issue "letsencrypt.org"

Коли які записи потрібні

Не всі записи потрібні одразу. Ось типові сценарії:

  • Тільки сайт: A + AAAA (опціонально) + CNAME для www
  • Сайт + пошта (Google Workspace / Microsoft 365): A + CNAME + MX + TXT (SPF) + TXT (DKIM) + TXT (DMARC)
  • Сайт через CDN: CNAME на CDN-провайдера замість A-запису
  • Обмеження SSL-сертифікатів: CAA запис (наприклад, дозволити тільки Let's Encrypt)

SPF, DKIM, DMARC — захист пошти

Три TXT-записи які критично важливі якщо ви відправляєте email з вашого домену:

  • SPF — вказує які сервери мають право відправляти пошту від імені вашого домену. Без SPF листи часто потрапляють у спам.
  • DKIM — додає цифровий підпис до кожного листа. Одержувач може перевірити що лист не підроблений.
  • DMARC — політика що робити з листами які не пройшли SPF/DKIM перевірку (відхиляти, карантин, пропускати).

⚠️ Важливо: Без SPF та DKIM ваші листи з великою ймовірністю потрапляють у спам або взагалі відхиляються Gmail, Outlook та іншими провайдерами. Якщо відправляєте email-розсилки — це обов'язкова настройка.

Як перевірити та діагностувати DNS

Коли щось не працює — домен не резолвиться, пошта не доходить, або сайт показує стару версію — перше що потрібно перевірити це DNS.

dig — основний інструмент

# A-запис домену
dig hostiserver.com A
# MX-записи (поштові сервери)
dig hostiserver.com MX
# TXT-записи (SPF, DKIM, верифікація)
dig hostiserver.com TXT
# Запит через конкретний DNS-сервер
dig @8.8.8.8 hostiserver.com A
# Скорочений вивід
dig +short hostiserver.com A

nslookup — альтернатива для Windows

# Базовий запит
nslookup hostiserver.com
# Через конкретний сервер
nslookup hostiserver.com 8.8.8.8
# MX-записи
nslookup -type=MX hostiserver.com

Очищення DNS-кешу

Якщо ви змінили DNS-записи, але бачите стару версію — проблема в кеші:

# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
# Linux (systemd-resolved)
sudo systemd-resolve --flush-caches

💡 Порада: Для швидкої онлайн-перевірки DNS з різних локацій використовуйте сервіси на кшталт dnschecker.org або whatsmydns.net — вони покажуть чи оновились записи по всьому світу.

DNS Propagation: чому зміни не застосовуються одразу

Ви змінили A-запис, але сайт все ще показує старий IP. Клієнти в одній країні бачать новий сайт, а в іншій — старий. Це DNS propagation — процес поширення змін по всіх DNS-серверах світу.

Чому це займає час

Кожен DNS-сервер кешує відповіді на час TTL (Time to Live). Якщо TTL вашого A-запису був 86400 секунд (24 години) — деякі сервери будуть повертати стару IP ще до 24 годин після зміни.

Як прискорити propagation

  • Знизьте TTL заздалегідь. За 24-48 годин до запланованих змін зменшіть TTL до 300 секунд (5 хвилин). Після зміни — підніміть назад.
  • Очистіть локальний кеш. ipconfig /flushdns на вашому комп'ютері.
  • Використовуйте швидкий DNS. Публічні DNS (Google 8.8.8.8, Cloudflare 1.1.1.1) оновлюються швидше ніж DNS провайдера.

ℹ️ Типові терміни propagation: Зміна A-запису з низьким TTL — 5-30 хвилин. Зміна NS-серверів — до 24-48 годин (тому що TTL для NS зазвичай високий і контролюється реєстратором).

DNS та безпека: DNSSEC, DNS over HTTPS

Стандартний DNS працює відкритим текстом — запити та відповіді не шифруються і не підписуються. Це створює вразливості.

DNS Spoofing (отруєння кешу)

Атакуючий підміняє відповідь DNS-сервера і перенаправляє користувача на фейковий сайт. Зовні все виглядає нормально — адреса в браузері правильна, але IP вказує на сервер зловмисника.

DNSSEC

DNS Security Extensions додає цифровий підпис до DNS-відповідей. Recursive resolver може перевірити що відповідь не була підмінена по дорозі. DNSSEC не шифрує запити, але гарантує їхню автентичність.

DNS over HTTPS (DoH) та DNS over TLS (DoT)

Шифрують DNS-запити щоб провайдер або хтось у мережі не міг бачити які сайти ви відвідуєте. Підтримується у всіх сучасних браузерах та ОС:

  • DoH — DNS через HTTPS (порт 443). Використовують Chrome, Firefox, Edge.
  • DoT — DNS через TLS (порт 853). Використовує Android, Linux.

5 помилок з DNS які ми бачимо регулярно

1. Забули оновити NS-записи після переїзду. Перенесли сайт на новий хостинг, змінили A-запис, але NS-записи все ще вказують на старого провайдера. Результат: частина запитів йде на старий сервер.

2. Відсутній SPF/DKIM. Пошта з домену летить у спам або блокується. Особливо критично для eCommerce з транзакційними листами.

3. Високий TTL перед міграцією. TTL 86400 (24 години) означає що після зміни IP деякі користувачі будуть бачити старий сайт ще добу. Знижуйте TTL до 300 заздалегідь.

4. CNAME на кореневому домені. example.com не може мати CNAME (тільки A/AAAA). CNAME працює лише для піддоменів (www, blog, shop). Деякі DNS-провайдери обходять це через ALIAS/ANAME записи.

5. Не перевіряють DNS після змін. Змінили записи і чекають "поки запрацює". Використовуйте dig або онлайн-чекери щоб переконатись що зміни застосувались правильно.

💡 DNS-чекліст для нового сайту:

  • ✅ A-запис вказує на правильний IP сервера
  • ✅ CNAME для www → основний домен
  • ✅ MX-записи налаштовані (якщо використовуєте пошту на домені)
  • ✅ SPF, DKIM, DMARC додані (якщо відправляєте email)
  • ✅ TTL знижений до 300 перед будь-якими змінами
  • ✅ CAA запис обмежує видачу SSL тільки вашим CA
  • ✅ Перевірка через dig/nslookup після кожної зміни

🚀 Потрібен надійний хостинг з повним DNS-управлінням?

Домени, DNS, SSL — все в одному місці. Налаштуємо правильно з першого разу.

💻 Cloud (VPS) Хостинг

  • Від $19.95/міс — Починайте малим, масштабуйте миттєво
  • KVM віртуалізація — Гарантовані ресурси без overselling
  • Повне DNS-управління — A, AAAA, MX, TXT, CNAME через панель
  • NVMe сховище — Швидка продуктивність
  • 24/7 підтримка — <10 хв відповідь

🖥️ Виділені Сервери

  • Від $200/міс — Сучасні конфігурації
  • Кастомні конфігурації — Intel або AMD, найсвіжіші моделі
  • Реєстрація доменів — Все в одному місці
  • DDoS захист — Включено
  • Безкоштовна міграція — Ми допоможемо

💬 Не впевнені який варіант вам необхідний?
💬 Напишіть нам і ми зі всім допоможемо!

Часті питання

Що таке DNS простими словами?

DNS — це система яка перетворює доменні імена (наприклад, google.com) в IP-адреси серверів. Щось на кшталт телефонної книги інтернету — ви називаєте ім'я, а система знаходить числову адресу.

Чому зміни DNS не застосовуються одразу?

Через кешування. DNS-сервери по всьому світу зберігають копії записів на час TTL. Щоб прискорити — знизьте TTL до 300 секунд за добу до змін, а після змін очистіть локальний кеш (ipconfig /flushdns).

Який DNS-сервер краще — Google (8.8.8.8) чи Cloudflare (1.1.1.1)?

Обидва швидкі та надійні. Cloudflare 1.1.1.1 зазвичай трохи швидший за результатами тестів і більш орієнтований на приватність. Google 8.8.8.8 має ширшу мережу. Для більшості — різниця мінімальна, обирайте будь-який.

Чи впливає DNS на швидкість сайту?

Так, але тільки на перший запит. DNS lookup додає 20-100 мс до першого завантаження. Після цього результат кешується. Для SEO важливий TTFB, і повільний DNS може його погіршити. Швидкий DNS-провайдер та низький TTL допомагають.

Що таке DNSSEC і чи потрібен він?

DNSSEC додає цифровий підпис до DNS-відповідей, захищаючи від підміни (DNS spoofing). Для бізнес-сайтів та eCommerce — рекомендується. Для невеликих блогів — не критично, але зайвим не буде.

Поділіться цією статтею
     |    Copy link

Contents

Поділіться цією статтею

VPS з підтримкою від

$19 95 / міс
всі тарифи

Виділені сервери від

$80 / міс
всі сервери

CDN починаючи від

$0 / міс
всі тарифи
Методи оплати
{ "message" : "C_MY_INFO:001: need auth", "status" : "ERROR" }

 

Користуючись цим сайтом, ви погоджуєтеся на використання файлів cookies відповідно до нашої Політики Конфіденційності.