阿里云已经支持域名设置DNSSEC

今天在阿里云修改域名信息的时候,偶然间看见面板上居然多出了DNSSEC设置选项,当时好惊喜,这应该是国内注册商第一家支持此服务的吧!
域名系统安全扩展(DNSSEC)是添加到域名的DNS域名系统确定源域名的可靠性数字签名,并有助于防止恶意活动缓存中毒、域欺骗和拦截中的攻击。

所以就设置了几个域名的DS记录,实测com、net、xin、vip等后缀都能很完美的添加上DS记录,但是很郁闷的是org后缀不能,恰恰我需要为我的主邮箱域名添加!(PS: 经过一周的工单联系,阿里云和org注册局沟通后,于2019.1.17终于能完美添加org后缀域名的DS记录。)
下边写一下我在阿里云设置Cloudflare提供的DNSSEC的过程~

第一步

首先去Cloudflare(以下简称CF)注册个账号,然后在注册过程中CF会要求您添加域名。按步骤填进去,到最后会随机给出两个DNS的地址,我们需要把这两个DNS地址修改到阿里云域名下。(这些步骤就不叙述了,都明白的)

第二步

在CF的DNS页面,往下拉会看到DNSSEC的选项,点Enable DNSSEC,然后CF会生成该域名的DNSSEC字段。

第三步

现在就该我们去阿里云设置DNSSEC选项了~首先进入我们需要设置的域名管理,会看到DNSSEC设置选项,点击进去后右上角会出现添加DS记录

点开后会出现如下图一样的菜单,需要填写您的在CF那边获得的字段

“关键标签”对应CF的“Key Tag”
“加密算法”对应CF的“Algorithm”
“摘要类型”对应CF的“Digest Type”
“摘要”对应CF的“Digest ”
按相应的设置完后,就可以等待生效了,若DS记录设置错误,会导致该域名无法访问,切记!
验证DNSSEC是否设置正确,可以访问以下网站测试!
https://dnssec-analyzer.verisignlabs.com/

最后修改:2019 年 10 月 28 日 11 : 33 PM
如果觉得我的文章对你有用,请随意赞赏

发表评论

8 条评论

  1. 关天DNSSEC

    生效需要多久?CL后台也显示绿勾了,那个测试网站也都是绿勾,不知道为啥访问我的域名还是显示404,只是一直在,线功能的缓存页面,点刷新就404了。

    1. Liang Ke
      @关天DNSSEC

      浏览器缓存,本地DNS缓存,可以换下公共递归DNS试试

  2. Liang Ke

    西部数码也完美了,可以工单手工设置DS记录。
    luzhou.email
    sichuan.email
    都成功设置好!

  3. Liang Ke

    本人名下除CN域名,其他后缀全部部署DNSSEC!

  4. Liang Ke

    由支持DS记录的注册商,转移到不支持DS记录的注册商之前,应该在转移之前清空DNSSEC设置。否则转移后可能会出现未知的问题~

  5. 2019

    这个是做什么用的?

    1. Liang Ke
      @2019

      DNSSEC全称Domain Name System Security Extensions,即DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供一种可以验证应答信息真实性和完整性的机制,利用密码技术,使得域名解析服务器可以验证它所收到的应答(包括域名不存在的应答)是否来自于真实的服务器,或者是否在传输过程中被篡改过。
      通过DNSSEC的部署,可以增强对DNS域名服务器的身份认证,进而帮助防止DNS缓存污染等攻击。
      详细的请移步 https://www.imooc.com/article/18415

  6. Liang Ke

    我已经设置好的域名做的测试
    http://dnsviz.net/d/korwah.com/dnssec/
    https://dnssec-analyzer.verisignlabs.com/korwah.com