DNSSEC est un mécanisme de sécurité conçu pour résoudre l'usurpation d'identité DNS et la corruption du cache. Le nom anglais est Domain Name System Security Extensions. Il utilise la technologie cryptographique pour permettre au serveur de résolution de noms de domaine de vérifier les réponses qu'il reçoit (y compris les réponses pour les noms de domaine inexistants). ). ) provenaient d’un serveur réel ou ont été falsifiés lors de la transmission.
En termes simples, DNSSEC peut empêcher le détournement DNS et garantir que le nom de domaine demandé par l'utilisateur lors du processus de résolution DNS est cohérent avec l'adresse IP correspondante. Auparavant, un de mes amis de la résolution de nom de domaine gratuite JD Cloud DNS a suggéré d'utiliser DNSSEC + CAA en combinaison, ce qui peut garantir au maximum la sécurité de la résolution DNS. Cet article utilise Google Cloud DNS pour configurer DNSSEC à titre de démonstration.
L'activation de DNSSEC nécessite les efforts conjoints des bureaux d'enregistrement de noms de domaine, des résolveurs de noms de domaine DNS et du DNS local pour prendre en charge la technologie DNSSEC. Les bureaux d'enregistrement de noms de domaine nationaux tels qu'Alibaba Cloud, Tencent Cloud et Baidu Cloud ne savent pas encore s'ils prennent en charge DNSSEC. Parmi les bureaux d'enregistrement de noms de domaine étrangers courants que j'utilise, tels que GodaddyNameNameCheapNamesilo, ils prennent tous en charge DNSSEC.
Afin de rendre la résolution DNS des noms de domaine plus précise, le moyen le plus sûr consiste à activer HSTS+DNS CAA et DNSSEC+DNS sur HTTPS ou DNS-Crypt sur le client du navigateur. Actuellement, wzfou.com a adopté Https, CAA, HSTS et. DNSSEC et d'autres technologies, les didacticiels pertinents incluent :
- Collecte et résumé des certificats SSL gratuits - ajoutez gratuitement un accès crypté sécurisé HTTPS au site Web
- Activez HSTS et rejoignez la liste de préchargement HSTS pour rendre l'accès HTTPS au site Web plus sécurisé - avec une méthode pour supprimer HSTS
- Résolution de nom de domaine gratuite JD Cloud DNS - prend en charge la segmentation régionale des lignes et peut ajouter des enregistrements de résolution CAA
PS : mis à jour le 22 juillet 2018. Bien que Google Cloud DNS prenne en charge DNSSEC, il ne prend pas en charge le DNS secondaire/de secours. Les amis qui ont besoin d'un DNS secondaire peuvent essayer : Application de résolution de nom de domaine DNS He.net - DDNS gratuit. , adresse IPv6 et DNS esclave.
1. Quels services de résolution de noms de domaine DNS prennent en charge DNSSEC ?
Le bouclier DNS national (dnsdun.com) semble être le seul fournisseur de services de résolution DNS prenant actuellement en charge les enregistrements de résolution CAA et DNSSEC. D'autres, tels que DNSPOD, Alibaba Cloud DNS, Cloudxns, etc., ne prennent pas en charge DNSSEC. Cependant, le bouclier DNS est trop niche. Même si je le connais depuis plusieurs années, sa stabilité doit encore être prise en compte.
Seule une poignée de résolutions de noms de domaine DNS étrangers prennent en charge DNSSEC. Actuellement, seuls Cloudflare, Google Cloud DNS et Rage4 prennent en charge DNSSEC. De plus, Cloudflare ne prend pas en charge la configuration d'enregistrements spécifiques à DNSSEC, tels que IPSECKEY, SSHFP, TLSA. , DNSKEY, enregistrements DS. Il est recommandé d'utiliser Google Cloud DNS et Rage4.
2. Quelle est la popularité du DNSSEC ? domestique?
- HTTPS://stats.labs.APN IC.net/
Voici la popularité du DNSSEC dans différents endroits du monde sur stats.labs.apnic.net. Le graphique montre qu'il existe encore assez peu de serveurs DNS prenant en charge DNSSEC dans le monde, le nombre total ne dépassant pas 15. %. La situation en Chine est encore pire, inférieure à 1 %. (Cliquez pour agrandir)
3. Tutoriel sur le prix et l'utilisation de Google Cloud DNS
- HTTPS://cloud.Google.com/DNS/
Google Cloud DNS et Rage4 prennent en charge l'utilisation de DNSSEC, mais Rage4 commence à 2 €/mois par nom de domaine et son prix est basé sur les fonctions plutôt que sur l'utilisation, tandis que Google Cloud DNS commence à 0,2 $/mois par domaine. nom , 0,4 $/million de demandes. wzfou.com a donc choisi Google Cloud DNS.
L'utilisation détaillée de Google Cloud DNS a été partagée avant d'abandonner le DNS gratuit et de passer à l'application DNS-Google cloud DNS payante et aux effets de résolution. Voici une brève introduction à l'utilisation de Google Cloud DNS. La première consiste à vous connecter à la plateforme Google Cloud et à trouver la résolution DNS.
Cliquez ensuite sur Créer un nom DNS.
Vous pouvez choisir n’importe quel nom de région tant qu’il ne se répète pas. Le nom DNS est le nom de domaine que vous souhaitez résoudre, tel que wzfou.com. Si vous souhaitez activer DNSSEC, sélectionnez Activer. Bien sûr.
Il est relativement simple d'ajouter un enregistrement de résolution DNS à Google Cloud DNS. S'il s'agit d'un enregistrement comme @, laissez-le vide, comme indiqué ci-dessous :
Google Cloud DNS prend en charge les enregistrements associés A, AAAA, CNAME, NS, MX, TXT, SRV, SPF, LOC, NAPTR, PTR, CAA et DNSSEC. Actuellement, c'est le plus complet.
A noter que Google Cloud DNS ajoute des enregistrements DNS sous forme d'ensembles. Par exemple, si MX possède deux enregistrements, il suffit de cliquer pour en ajouter un autre.
Google Cloud DNS ajoute des enregistrements CAA comme indiqué dans la figure ci-dessous. Pour connaître les méthodes de génération d'enregistrements CAA, veuillez vous référer à : Paramètres DNS JD Cloud CAA.
4. Le nom du registraire de noms de domaine active DNSSEC
Recherchez « Paramètres du registraire » dans Google Cloud DNS.
Cliquez ensuite pour afficher le serveur NS et l'enregistrement DS de Google Cloud DNS.
Accédez au nom du registraire de noms de domaine (PS : la méthode est similaire à celle des autres registraires de noms de domaine que vous utilisez) et modifiez le serveur NS en Google Cloud DNS.
ns-cloud-d1.googledomains.com
ns-cloud-d2.googledomains.com
ns-cloud-d3.googledomains.com
ns-cloud-d4.googledomains.com
Comme indiqué ci-dessous:
Remplissez ensuite l'enregistrement DS dans l'interface de gestion DNSSEC du Nom, principalement Key Tag, Algorithm, Digest Type et Digest.
5. Vérifiez si DNSSEC est activé avec succès et son effet
- HTTPS://DNS Sec-analyzer.VE Crème de jour IGN labs.com/
Accédez au site Web de Verisignlabs et entrez votre nom de domaine. Si votre DS est correctement configuré, vous verrez un « crochet » vert.
Utilisez les outils pour les webmasters pour tester wzfou.com avec Google Cloud DNS activé, et il n'y a aucun problème de connexion nulle part.
Lors de l'utilisation du test d'exploration du moteur de recherche de Baidu Webmaster Platform, tous les résultats indiquent que l'exploration a réussi, indiquant que Google Cloud DNS fonctionne normalement en Chine.
De plus, les frais de Google Cloud DNS sont vraiment très bon marché.
6. Résumé
Théoriquement, l'activation de DNSSEC et de CAA peut fondamentalement empêcher le détournement de DNS. Cependant, étant donné que le taux de pénétration actuel de DNSSEC est très faible, en particulier le DNS national ne prend pas en charge DNSSEC, l'effet de l'utilisation de DNSSEC en Chine n'est peut-être pas bon. que rien", après tout, le DNSSEC est une tendance de développement majeure.
Le premier groupe des quatre ensembles de serveurs NS de Google Cloud DNS ne peut pas être pingé en Chine, mais du point de vue de la surveillance, le DNS ne l'affecte pas. De plus, il convient de noter qu'il est inutile d'utiliser DNSSEC pour des noms de domaine déjà contaminés. Vous pouvez plutôt utiliser DNS sur HTTPS ou DNS-Crypt pour chiffrer l'ensemble du processus de résolution DNS.