今天在阿里云修改域名信息的时候,偶然间看见面板上居然多出了DNSSEC设置选项,当时好惊喜,这应该是国内注册商第一家支持此服务的吧!
域名系统安全扩展(DNSSEC)是添加到域名的DNS域名系统确定源域名的可靠性数字签名,并有助于防止恶意活动缓存中毒、域欺骗和拦截中的攻击。
所以就设置了几个域名的DS记录,实测com、net、xin、vip等后缀都能很完美的添加上DS记录,但是很郁闷的是org后缀不能,恰恰我需要为我的主邮箱域名添加!(PS: 经过一周的工单联系,阿里云和org注册局沟通后,于2019.1.17终于能完美添加org后缀域名的DS记录。)
下边写一下我在阿里云设置Cloudflare提供的DNSSEC的过程~
第一步
首先去Cloudflare(以下简称CF)注册个账号,然后在注册过程中CF会要求您添加域名。按步骤填进去,到最后会随机给出两个DNS的地址,我们需要把这两个DNS地址修改到阿里云域名下。(这些步骤就不叙述了,都明白的)
第二步
在CF的DNS页面,往下拉会看到DNSSEC的选项,点Enable DNSSEC,然后CF会生成该域名的DNSSEC字段。
第三步
现在就该我们去阿里云设置DNSSEC选项了~首先进入我们需要设置的域名管理,会看到DNSSEC设置选项,点击进去后右上角会出现添加DS记录
点开后会出现如下图一样的菜单,需要填写您的在CF那边获得的字段
“关键标签”对应CF的“Key Tag”
“加密算法”对应CF的“Algorithm”
“摘要类型”对应CF的“Digest Type”
“摘要”对应CF的“Digest ”
按相应的设置完后,就可以等待生效了,若DS记录设置错误,会导致该域名无法访问,切记!
验证DNSSEC是否设置正确,可以访问以下网站测试!
https://dnssec-analyzer.verisignlabs.com/
版权属于:Liang.Ke
生效需要多久?CL后台也显示绿勾了,那个测试网站也都是绿勾,不知道为啥访问我的域名还是显示404,只是一直在,线功能的缓存页面,点刷新就404了。
浏览器缓存,本地DNS缓存,可以换下公共递归DNS试试
西部数码也完美了,可以工单手工设置DS记录。
luzhou.email
sichuan.email
都成功设置好!
本人名下除CN域名,其他后缀全部部署DNSSEC!
由支持DS记录的注册商,转移到不支持DS记录的注册商之前,应该在转移之前清空DNSSEC设置。否则转移后可能会出现未知的问题~
这个是做什么用的?
DNSSEC全称Domain Name System Security Extensions,即DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供一种可以验证应答信息真实性和完整性的机制,利用密码技术,使得域名解析服务器可以验证它所收到的应答(包括域名不存在的应答)是否来自于真实的服务器,或者是否在传输过程中被篡改过。
通过DNSSEC的部署,可以增强对DNS域名服务器的身份认证,进而帮助防止DNS缓存污染等攻击。
详细的请移步 https://www.imooc.com/article/18415
我已经设置好的域名做的测试
http://dnsviz.net/d/korwah.com/dnssec/
https://dnssec-analyzer.verisignlabs.com/korwah.com