DNSSEC ist ein Sicherheitsmechanismus zur Lösung von DNS-Spoofing und Cache-Verschmutzung. Der englische Name lautet „Domain Name System Security Extensions“. Er nutzt kryptografische Technologie, um es dem Domain-Name-Auflösungsserver zu ermöglichen, die Antworten zu überprüfen, die er erhält (einschließlich Antworten für nicht vorhandene Domain-Namen). ) stammten von einem echten Server oder wurden während der Übertragung manipuliert.
Einfach ausgedrückt kann DNSSEC DNS-Hijacking verhindern und sicherstellen, dass der vom Benutzer während des DNS-Auflösungsprozesses angeforderte Domänenname mit der entsprechenden IP-Adresse übereinstimmt. Zuvor schlug ein Freund von mir in der kostenlosen JD Cloud DNS-Domänennamenauflösung die Kombination von DNSSEC + CAA vor, wodurch die Sicherheit der DNS-Auflösung in höchstem Maße gewährleistet werden kann. In diesem Artikel wird Google Cloud DNS zum Einrichten von DNSSEC verwendet.
Die Aktivierung von DNSSEC erfordert die gemeinsamen Anstrengungen von Domainnamen-Registraren, DNS-Domainnamen-Resolvern und lokalem DNS zur Unterstützung der DNSSEC-Technologie. Inländische Domainnamen-Registrare wie Alibaba Cloud, Tencent Cloud und Baidu Cloud wissen noch nicht, ob sie DNSSEC unterstützen. Von den gängigen ausländischen Domainnamen-Registraren, die ich verwende, wie z. B. GodaddyNameNameCheapNamesilo, unterstützen sie alle DNSSEC.
Um die DNS-Auflösung von Domänennamen genauer zu machen, ist es am sichersten, HSTS+DNS CAA und DNSSEC+DNS über HTTPS oder DNS-Crypt auf dem Browser-Client zu aktivieren. Derzeit hat wzfou.com Https, CAA, HSTS und übernommen Zu den relevanten Tutorials zu DNSSEC und anderen Technologien gehören:
- Kostenlose Sammlung und Zusammenfassung von SSL-Zertifikaten – fügen Sie kostenlos einen sicheren, verschlüsselten HTTPS-Zugriff auf die Website hinzu
- Aktivieren Sie HSTS und treten Sie der HSTS-Preload-Liste bei, um den HTTPS-Zugriff auf die Website sicherer zu machen – mit Methoden zum Löschen von HSTS
- Kostenlose JD Cloud DNS-Domänennamenauflösung – unterstützt die regionale Segmentierung von Leitungen und kann CAA-Auflösungseinträge hinzufügen
PS: Aktualisiert am 22. Juli 2018, Obwohl Google Cloud DNS DNSSEC unterstützt, unterstützt es kein sekundäres/Backup-DNS. Freunde, die sekundäres DNS benötigen, können es versuchen: He.net DNS-Domänennamenauflösungsanwendung – kostenloses DDNS , IPv6-Adresse und Slave-DNS.
1. Welche DNS-Domänennamenauflösungsdienste unterstützen DNSSEC?
Domestic DNS Shield (dnsdun.com) scheint derzeit der einzige DNS-Auflösungsdienstanbieter zu sein, der CAA- und DNSSEC-Auflösungseinträge unterstützt. Andere wie DNSPOD, Alibaba Cloud DNS, Cloudxns usw. unterstützen DNSSEC nicht. Allerdings ist das DNS-Schutzschild zu nischenlastig. Obwohl ich es schon seit mehreren Jahren kenne, muss seine Stabilität noch berücksichtigt werden.
Es gibt nur eine Handvoll ausländischer DNS-Domänennamenauflösungen, die DNSSEC unterstützen. Derzeit unterstützen nur Cloudflare, Google Cloud DNS und Rage4 die Einrichtung von DNSSEC-spezifischen Einträgen wie IPSECKEY, SSHFP, TLSA , DNSKEY, DS-Einträge. Es wird empfohlen, Google Cloud DNS und Rage4 zu verwenden.
2. Wie beliebt ist DNSSEC? inländisch?
- HTTPS://stats.labs.APN IC.net/
Das Folgende ist die Popularität von DNSSEC an verschiedenen Orten auf der ganzen Welt auf stats.labs.apnic.net. Aus der Tabelle geht hervor, dass es weltweit immer noch recht wenige DNS-Server gibt, die DNSSEC unterstützen, wobei die Gesamtzahl 15 nicht überschreitet %. Noch schlimmer ist die Lage in China, dort liegt die Rate unter 1 %. (Klicken um zu vergrößern)
3. Tutorial zu Preis und Nutzung von Google Cloud DNS
- HTTPS://cloud.Google.com/DNS/
Sowohl Google Cloud DNS als auch Rage4 unterstützen die Verwendung von DNSSEC, aber Rage4 beginnt bei 2 €/Monat pro Domainname und der Preis basiert auf Funktionen und nicht auf der Nutzung, während Google Cloud DNS bei 0,2 $/Monat pro Domain beginnt Name , 0,4 $/Million Anfragen. Daher entschied sich wzfou.com für Google Cloud DNS.
Die detaillierte Nutzung von Google Cloud DNS wurde vor dem Verzicht auf kostenloses DNS und dem Wechsel zu kostenpflichtigem DNS-Google Cloud DNS-Anwendungs- und Auflösungseffekten geteilt. Hier finden Sie eine kurze Einführung in die Nutzung von Google Cloud DNS. Die erste besteht darin, sich bei der Google Cloud-Plattform anzumelden und die DNS-Auflösung zu finden.
Klicken Sie dann auf DNS-Namen erstellen.
Sie können einen beliebigen Regionsnamen wählen, solange er sich nicht wiederholt. Der DNS-Name ist der Domänenname, den Sie auflösen möchten, z. B. wzfou.com. Wenn Sie DNSSEC aktivieren möchten, wählen Sie Aktivieren. Sicher.
Es ist relativ einfach, einen DNS-Auflösungseintrag zu Google Cloud DNS hinzuzufügen. Wenn es sich um einen Eintrag wie @ handelt, lassen Sie ihn einfach leer, wie unten gezeigt:
Google Cloud DNS unterstützt A-, AAAA-, CNAME-, NS-, MX-, TXT-, SRV-, SPF-, LOC-, NAPTR-, PTR-, CAA- und DNSSEC-bezogene Datensätze. Derzeit ist es das vollständigste.
Es ist zu beachten, dass Google Cloud DNS DNS-Einträge in Form von Sätzen hinzufügt. Wenn MX beispielsweise zwei Einträge hat, müssen Sie nur klicken, um einen weiteren hinzuzufügen.
Google Cloud DNS fügt CAA-Einträge hinzu, wie in der Abbildung unten gezeigt. Methoden zum Generieren von CAA-Einträgen finden Sie unter: JD Cloud DNS-Einstellungen CAA.
4. Der Name des Domänennamen-Registrars aktiviert DNSSEC
Suchen Sie in Google Cloud DNS nach „Registrareinstellungen“.
Klicken Sie dann, um den NS-Server und den DS-Eintrag von Google Cloud DNS anzuzeigen.
Gehen Sie zum Domänennamen-Registrarnamen (PS: Die Methode ähnelt den anderen von Ihnen verwendeten Domänennamen-Registraren) und ändern Sie den NS-Server in Google Cloud DNS.
ns-cloud-d1.googledomains.com
ns-cloud-d2.googledomains.com
ns-cloud-d3.googledomains.com
ns-cloud-d4.googledomains.com
Wie nachfolgend dargestellt:
Füllen Sie dann den DS-Eintrag in der DNSSEC-Verwaltungsschnittstelle mit Namen aus, hauptsächlich Schlüssel-Tag, Algorithmus, Digest-Typ und Digest.
5. Überprüfen Sie, ob DNSSEC erfolgreich aktiviert wurde und welche Auswirkungen es hat
- HTTPS://DNS Sec-analyzer.VE Tagescreme IGN labs.com/
Gehen Sie zur Website von Verisignlabs und geben Sie Ihren Domainnamen ein. Wenn Ihr DS richtig konfiguriert ist, wird ein grüner „Hook“ angezeigt.
Testen Sie wzfou.com mit den Webmaster-Tools mit aktiviertem Google Cloud DNS, und es gibt nirgendwo Probleme mit der Verbindung.
Bei Verwendung des Suchmaschinen-Crawling-Tests der Baidu Webmaster-Plattform zeigen alle Ergebnisse, dass das Crawling erfolgreich war, was darauf hinweist, dass Google Cloud DNS in China normal ausgeführt wird.
Darüber hinaus sind die Gebühren für Google Cloud DNS wirklich recht günstig.
6. Zusammenfassung
Theoretisch kann die Aktivierung von DNSSEC und CAA DNS-Hijacking grundsätzlich verhindern. Da die derzeitige Durchdringungsrate von DNSSEC jedoch sehr gering ist, insbesondere inländisches DNS, ist die Wirkung der Verwendung von DNSSEC in China möglicherweise nicht gut, aber „besser“. als nichts“, schließlich ist DNSSEC ein großer Entwicklungstrend.
Die erste Gruppe der vier NS-Server von Google Cloud DNS kann in China nicht gepingt werden, aber aus Überwachungssicht hat DNS keinen Einfluss darauf. Darüber hinaus ist zu beachten, dass es sinnlos ist, DNSSEC für bereits kontaminierte Domainnamen zu verwenden. Stattdessen können Sie DNS über HTTPS oder DNS-Crypt verwenden, um den gesamten DNS-Auflösungsprozess zu verschlüsseln.