DNSSEC es un mecanismo de seguridad diseñado para resolver la suplantación de DNS y la corrupción de la caché. El nombre en inglés es Extensiones de seguridad del sistema de nombres de dominio. Utiliza tecnología criptográfica para permitir que el servidor de resolución de nombres de dominio verifique las respuestas que recibe (incluidas las respuestas para nombres de dominio inexistentes). ) proviene de un servidor real o fue manipulado durante la transmisión.
En pocas palabras, DNSSEC puede evitar el secuestro de DNS y garantizar que el nombre de dominio solicitado por el usuario durante el proceso de resolución de DNS sea coherente con la dirección IP correspondiente. Anteriormente, un amigo mío en la resolución de nombres de dominio gratuita DNS de JD Cloud sugirió usar DNSSEC + CAA en combinación, lo que puede garantizar la seguridad de la resolución de DNS en la mayor medida. Este artículo utiliza Google Cloud DNS para configurar DNSSEC como demostración.
Habilitar DNSSEC requiere los esfuerzos conjuntos de los registradores de nombres de dominio, los solucionadores de nombres de dominio DNS y el DNS local para admitir la tecnología DNSSEC. Los registradores de nombres de dominio nacionales como Alibaba Cloud, Tencent Cloud y Baidu Cloud aún no saben si admiten DNSSEC. De los registradores de nombres de dominio extranjeros comunes que uso, como GodaddyNameNameCheapNamesilo, todos admiten DNSSEC.
Para que la resolución DNS de los nombres de dominio sea más precisa, la forma más segura es habilitar HSTS+DNS CAA y DNSSEC+DNS sobre HTTPS o DNS-Crypt en el cliente del navegador. Actualmente, wzfou.com ha adoptado Https, CAA, HSTS y. DNSSEC y otras tecnologías, los tutoriales relevantes incluyen:
- Colección y resumen de certificados SSL gratuitos: agregue acceso cifrado seguro HTTPS al sitio web de forma gratuita
- Habilite HSTS y únase a la lista de precarga de HSTS para hacer que el acceso HTTPS al sitio web sea más seguro, con un método para eliminar HSTS
- Resolución de nombres de dominio gratuita JD Cloud DNS: admite la segmentación regional de líneas y puede agregar registros de resolución CAA
PD: Actualizado el 22 de julio de 2018, Aunque Google Cloud DNS admite DNSSEC, no admite DNS secundario/de respaldo. Los amigos que necesiten DNS secundario pueden probar: Aplicación de resolución de nombres de dominio DNS He.net: DDNS gratuito. , dirección IPv6 y DNS esclavo.
1. ¿Qué servicios de resolución de nombres de dominio DNS admiten DNSSEC?
El escudo DNS nacional (dnsdun.com) parece ser el único proveedor de servicios de resolución de DNS que actualmente admite registros de resolución CAA y DNSSEC. Otros como DNSPOD, Alibaba Cloud DNS, Cloudxns, etc. no admiten DNSSEC. Sin embargo, el escudo DNS es demasiado específico. Aunque lo conozco desde hace varios años, aún es necesario considerar su estabilidad.
Solo hay un puñado de resoluciones de nombres de dominio DNS extranjeros que admiten DNSSEC. Actualmente, solo Cloudflare, Google Cloud DNS y Rage4 admiten DNSSEC. Además, Cloudflare no admite la configuración de registros específicos de DNSSEC, como IPSECKEY, SSHFP, TLSA. , DNSKEY, registros DS. Se recomienda utilizar Google Cloud DNS y Rage4.
2. ¿Qué tan popular es DNSSEC? ¿doméstico?
- HTTPS://stats.labs.APN IC.net/
La siguiente es la popularidad de DNSSEC en diferentes lugares del mundo en stats.labs.apnic.net. En el gráfico se puede ver que todavía hay bastantes servidores DNS que admiten DNSSEC en el mundo, y el número total no supera los 15. %. La situación en China es aún peor, por debajo del 1%. (Click para agrandar)
3. Tutorial de uso y precio de DNS de Google Cloud
- HTTPS://cloud.Google.com/DNS/
Tanto Google Cloud DNS como Rage4 admiten el uso de DNSSEC, pero Rage4 comienza en €2/mes por nombre de dominio y su precio se basa en las funciones más que en el uso, mientras que Google Cloud DNS comienza en $0,2/mes por dominio. nombre , $0,4/millón de solicitudes. Entonces wzfou.com eligió Google Cloud DNS.
El uso detallado de Google Cloud DNS se ha compartido antes de renunciar al DNS gratuito y cambiar a DNS de pago: aplicación de DNS en la nube de Google y efectos de resolución. Aquí hay una breve introducción al uso de Google Cloud DNS. La primera es iniciar sesión en la plataforma Google Cloud y buscar la resolución DNS.
Luego haga clic en Crear nombre DNS.
Puede elegir cualquier nombre de región siempre que no se repita. El nombre DNS es el nombre de dominio que desea resolver, como wzfou.com. Si desea habilitar DNSSEC, seleccione Habilitar. Seguro.
Es relativamente sencillo agregar un registro de resolución DNS a Google Cloud DNS. Si es un registro como @, déjelo en blanco, como se muestra a continuación:
Google Cloud DNS admite registros relacionados A, AAAA, CNAME, NS, MX, TXT, SRV, SPF, LOC, NAPTR, PTR, CAA y DNSSEC. Actualmente es el más completo.
Cabe señalar que Google Cloud DNS agrega registros DNS en forma de conjuntos. Por ejemplo, si MX tiene dos registros, solo necesita hacer clic para agregar otro.
Google Cloud DNS agrega registros CAA como se muestra en la siguiente figura. Para conocer los métodos para generar registros CAA, consulte: Configuración de DNS de JD Cloud CAA.
4. Registrador de nombres de dominio El nombre habilita DNSSEC
Busque "Configuración del registrador" en Google Cloud DNS.
Luego haga clic para mostrar el servidor NS y el registro DS de Google Cloud DNS.
Vaya al nombre del registrador de nombres de dominio (PD: el método es similar al de otros registradores de nombres de dominio que utiliza) y modifique el servidor NS a Google Cloud DNS.
ns-cloud-d1.googledomains.com
ns-cloud-d2.googledomains.com
ns-cloud-d3.googledomains.com
ns-cloud-d4.googledomains.com
Como se muestra abajo:
Luego complete el registro DS en la interfaz de administración DNSSEC de Nombre, principalmente Etiqueta clave, Algoritmo, Tipo de resumen y Resumen.
5. Compruebe si DNSSEC se ha habilitado correctamente y su efecto.
- HTTPS://DNS Sec-analyzer.VE Crema de día IGN labs.com/
Vaya al sitio web de verisignlabs e ingrese su nombre de dominio. Si su DS está configurado correctamente, verá un "gancho" verde.
Utilice las herramientas para webmasters para probar wzfou.com con Google Cloud DNS habilitado y no habrá problemas con la conexión en ninguna parte.
Cuando se utiliza la prueba de rastreo del motor de búsqueda de Baidu Webmaster Platform, todos los resultados indican que el rastreo fue exitoso, lo que indica que Google Cloud DNS se está ejecutando normalmente en China.
Además, los cargos por DNS de Google Cloud son realmente bastante económicos.
6. Resumen
En teoría, habilitar DNSSEC y CAA básicamente puede prevenir el secuestro de DNS. Sin embargo, dado que la tasa de penetración actual de DNSSEC es muy baja, especialmente el DNS nacional básicamente no admite DNSSEC, el efecto de usar DNSSEC en China puede no ser bueno, pero "mejor". que nada", después de todo, DNSSEC es una importante tendencia de desarrollo.
Al primer grupo de los cuatro conjuntos de servidores NS de Google Cloud DNS no se le puede hacer ping en China, pero desde el punto de vista del monitoreo, el DNS no lo afecta. Además, cabe señalar que es inútil utilizar DNSSEC para nombres de dominio ya contaminados. En su lugar, puede utilizar DNS sobre HTTPS o DNS-Crypt para cifrar todo el proceso de resolución de DNS.