DNSSEC एक सुरक्षा तंत्र है जिसे DNS स्पूफिंग और कैश प्रदूषण को हल करने के लिए डिज़ाइन किया गया है। अंग्रेजी नाम डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन है। यह डोमेन नाम रिज़ॉल्यूशन सर्वर को प्राप्त प्रतिक्रियाओं को सत्यापित करने के लिए क्रिप्टोग्राफ़िक तकनीक का उपयोग करता है (गैर-मौजूद डोमेन नामों के लिए प्रतिक्रियाओं सहित)। ).) एक वास्तविक सर्वर से आया था, या ट्रांसमिशन के दौरान छेड़छाड़ की गई थी।
सीधे शब्दों में कहें तो, DNSSEC DNS अपहरण को रोक सकता है और यह सुनिश्चित कर सकता है कि DNS रिज़ॉल्यूशन प्रक्रिया के दौरान उपयोगकर्ता द्वारा अनुरोध किया गया डोमेन नाम संबंधित आईपी पते के अनुरूप है। पहले, जेडी क्लाउड डीएनएस मुक्त डोमेन नाम रिज़ॉल्यूशन में मेरे एक मित्र ने संयोजन में डीएनएसएसईसी+सीएए का उपयोग करने का सुझाव दिया था, जो डीएनएस रिज़ॉल्यूशन की सुरक्षा को सबसे बड़ी सीमा तक सुनिश्चित कर सकता है। यह आलेख एक प्रदर्शन के रूप में डीएनएसएसईसी स्थापित करने के लिए Google क्लाउड डीएनएस का उपयोग करता है।
DNSSEC को सक्षम करने के लिए DNSSEC तकनीक का समर्थन करने के लिए डोमेन नाम रजिस्ट्रार, DNS डोमेन नाम रिज़ॉल्वर और स्थानीय DNS के संयुक्त प्रयासों की आवश्यकता होती है। अलीबाबा क्लाउड, टेनसेंट क्लाउड और Baidu क्लाउड जैसे घरेलू डोमेन नाम रजिस्ट्रार अभी तक नहीं जानते हैं कि वे DNSSEC का समर्थन करते हैं या नहीं। मैं जिन सामान्य विदेशी डोमेन नाम रजिस्ट्रारों जैसे GodaddyNameNameCheapNamesilo का उपयोग करता हूं, वे सभी DNSSEC का समर्थन करते हैं।
डोमेन नाम डीएनएस रिज़ॉल्यूशन को अधिक सटीक बनाने के लिए, सबसे सुरक्षित तरीका ब्राउज़र क्लाइंट पर HTTPS या DNS-क्रिप्ट पर HSTS+DNS CAA और DNSSEC+DNS को सक्षम करना है। वर्तमान में, wzfou.com ने HTTPS, CAA, HSTS और को अपनाया है DNSSEC और अन्य प्रौद्योगिकियों, प्रासंगिक ट्यूटोरियल में शामिल हैं:
- निःशुल्क एसएसएल प्रमाणपत्र संग्रह और सारांश - वेबसाइट पर निःशुल्क HTTPS सुरक्षित एन्क्रिप्टेड एक्सेस जोड़ें
- HSTS को सक्षम करें और वेबसाइट तक HTTPS पहुंच को अधिक सुरक्षित बनाने के लिए HSTS प्रीलोड सूची में शामिल हों - HSTS को हटाने के तरीकों के साथ
- जेडी क्लाउड डीएनएस मुक्त डोमेन नाम रिज़ॉल्यूशन - लाइनों के क्षेत्रीय विभाजन का समर्थन करता है और सीएए रिज़ॉल्यूशन रिकॉर्ड जोड़ सकता है
PS: 22 जुलाई 2018 को अपडेट किया गया, हालांकि Google क्लाउड DNS DNSSEC का समर्थन करता है, लेकिन यह सेकेंडरी/बैकअप DNS का समर्थन नहीं करता है। जिन मित्रों को सेकेंडरी DNS की आवश्यकता है, वे कोशिश कर सकते हैं: He.net DNS डोमेन नाम रिज़ॉल्यूशन एप्लिकेशन- निःशुल्क DDNS , IPv6 पता और स्लेव DNS।
1. कौन सी DNS डोमेन नाम रिज़ॉल्यूशन सेवाएँ DNSSEC का समर्थन करती हैं?
घरेलू DNS शील्ड (dnsdun.com) वर्तमान में CAA और DNSSEC रिज़ॉल्यूशन रिकॉर्ड का समर्थन करने वाला एकमात्र DNS रिज़ॉल्यूशन सेवा प्रदाता प्रतीत होता है। अन्य जैसे DNSPOD, अलीबाबा क्लाउड DNS, Cloudxns, आदि DNSSEC का समर्थन नहीं करते हैं। हालाँकि, DNS शील्ड बहुत विशिष्ट है, हालाँकि मैं इसके बारे में कई वर्षों से जानता हूँ, फिर भी इसकी स्थिरता पर विचार करने की आवश्यकता है।
केवल कुछ ही विदेशी DNS डोमेन नाम रिज़ॉल्यूशन हैं जो DNSSEC का समर्थन करते हैं, वर्तमान में, केवल Cloudflare, Google Cloud DNS और Rage4 DNSSEC का समर्थन करते हैं, इसके अलावा, Cloudflare IPSECKEY, SSHFP, TLSA जैसे DNSSEC-विशिष्ट रिकॉर्ड स्थापित करने का समर्थन नहीं करता है। , DNSKEY, DS रिकॉर्ड। Google क्लाउड DNS और Rage4 का उपयोग करने की अनुशंसा की जाती है।
2. DNSSEC कितना लोकप्रिय है? घरेलू?
- HTTPS://stats.labs.APN IC.net/
stats.labs.apnic.net पर दुनिया भर के विभिन्न स्थानों में DNSSEC की लोकप्रियता इस प्रकार है। चार्ट से देखा जा सकता है कि दुनिया में अभी भी DNSSEC का समर्थन करने वाले बहुत कम DNS सर्वर हैं, जिनकी कुल संख्या 15 से अधिक नहीं है। % चीन की स्थिति और भी खराब है, 1% से भी नीचे। (बड़ा करने के लिए क्लिक करें)
3. Google क्लाउड DNS मूल्य और उपयोग ट्यूटोरियल
- HTTPS://cloud.Google.com/DNS/
Google क्लाउड DNS और Rage4 दोनों DNSSEC के उपयोग का समर्थन करते हैं, लेकिन Rage4 प्रति डोमेन नाम €2/माह से शुरू होता है और इसकी कीमत उपयोग के बजाय कार्यों पर आधारित होती है, जबकि Google क्लाउड DNS प्रति डोमेन $0.2/माह से शुरू होता है। नाम , $0.4/मिलियन अनुरोध। इसलिए wzfou.com ने Google क्लाउड DNS को चुना।
मुफ़्त DNS को छोड़ने और सशुल्क DNS-Google क्लाउड DNS एप्लिकेशन और रिज़ॉल्यूशन प्रभावों पर स्विच करने से पहले Google क्लाउड DNS का विस्तृत उपयोग साझा किया गया है। यहां Google क्लाउड DNS के उपयोग का एक संक्षिप्त परिचय दिया गया है। सबसे पहले Google क्लाउड प्लेटफ़ॉर्म पर लॉग इन करें और DNS रिज़ॉल्यूशन ढूंढें।
फिर डीएनएस नाम बनाएं पर क्लिक करें।
आप किसी भी क्षेत्र का नाम तब तक चुन सकते हैं जब तक वह दोहराया न जाए। DNS नाम वह डोमेन नाम है जिसे आप हल करना चाहते हैं, जैसे कि wzfou.com यदि आप DNSSEC को सक्षम करना चाहते हैं, तो सक्षम करें का चयन करें। ज़रूर।
Google क्लाउड DNS में DNS रिज़ॉल्यूशन रिकॉर्ड जोड़ना अपेक्षाकृत सरल है यदि यह @ जैसा रिकॉर्ड है, तो इसे खाली छोड़ दें, जैसा कि नीचे दिखाया गया है:
Google क्लाउड DNS A, AAAA, CNAME, NS, MX, TXT, SRV, SPF, LOC, NAPTR, PTR, CAA और DNSSEC संबंधित रिकॉर्ड का समर्थन करता है। वर्तमान में यह सर्वाधिक पूर्ण है।
यह ध्यान दिया जाना चाहिए कि Google क्लाउड DNS सेट के रूप में DNS रिकॉर्ड जोड़ता है, उदाहरण के लिए, यदि एमएक्स के पास दो रिकॉर्ड हैं, तो आपको केवल एक और जोड़ने के लिए क्लिक करना होगा।
Google क्लाउड DNS CAA रिकॉर्ड जोड़ता है जैसा कि नीचे दिए गए चित्र में दिखाया गया है। CAA रिकॉर्ड बनाने के तरीकों के लिए, कृपया देखें: JD क्लाउड DNS सेटिंग्स CAA।
4. डोमेन नाम रजिस्ट्रार नाम DNSSEC को सक्षम करता है
Google क्लाउड DNS में "रजिस्ट्रार सेटिंग्स" ढूंढें।
फिर Google क्लाउड DNS का NS सर्वर और DS रिकॉर्ड प्रदर्शित करने के लिए क्लिक करें।
डोमेन नाम रजिस्ट्रार नाम पर जाएं (पीएस: विधि आपके द्वारा उपयोग किए जाने वाले अन्य डोमेन नाम रजिस्ट्रार के समान है) और एनएस सर्वर को Google क्लाउड डीएनएस में संशोधित करें।
ns-cloud-d1.googledomains.com
ns-cloud-d2.googledomains.com
ns-cloud-d3.googledomains.com
ns-cloud-d4.googledomains.com
जैसा कि नीचे दिया गया है:
फिर नाम के DNSSEC प्रबंधन इंटरफ़ेस में डीएस रिकॉर्ड भरें, मुख्य रूप से कुंजी टैग, एल्गोरिदम, डाइजेस्ट प्रकार और डाइजेस्ट।
5. जांचें कि क्या DNSSEC सफलतापूर्वक सक्षम है और इसका प्रभाव क्या है
- HTTPS://DNS Sec-analyzer.VE डे क्रीम IGN labs.com/
वेरीसाइनलैब्स वेबसाइट पर जाएं और अपना डोमेन नाम दर्ज करें। यदि आपका डीएस सही ढंग से कॉन्फ़िगर किया गया है, तो आपको एक हरा "हुक" दिखाई देगा।
Google क्लाउड DNS सक्षम होने पर wzfou.com का परीक्षण करने के लिए वेबमास्टर टूल का उपयोग करें, और कहीं भी कनेक्शन में कोई समस्या नहीं है।
Baidu वेबमास्टर प्लेटफ़ॉर्म के खोज इंजन क्रॉलिंग परीक्षण का उपयोग करते समय, सभी परिणाम दर्शाते हैं कि क्रॉलिंग सफल है, यह दर्शाता है कि Google क्लाउड DNS चीन में सामान्य रूप से चल रहा है।
इसके अलावा, Google क्लाउड DNS शुल्क वास्तव में काफी सस्ते हैं।
6. सारांश
सैद्धांतिक रूप से कहें तो, DNSSEC और CAA को सक्षम करने से मूल रूप से DNS अपहरण को रोका जा सकता है, हालाँकि, चूंकि DNSSEC की वर्तमान प्रवेश दर बहुत कम है, विशेष रूप से घरेलू DNS मूल रूप से DNSSEC का समर्थन नहीं करता है, चीन में DNSSEC का उपयोग करने का प्रभाव अच्छा नहीं हो सकता है कुछ भी नहीं", आख़िरकार, DNSSEC एक प्रमुख विकास प्रवृत्ति है।
Google क्लाउड DNS के चार NS सर्वरों के पहले समूह को चीन में पिंग नहीं किया जा सकता है, लेकिन निगरानी के दृष्टिकोण से, DNS इसे प्रभावित नहीं करता है। इसके अलावा, यह ध्यान दिया जाना चाहिए कि पहले से ही दूषित डोमेन नामों के लिए DNSSEC का उपयोग करना बेकार है, इसके बजाय, आप संपूर्ण DNS रिज़ॉल्यूशन प्रक्रिया को एन्क्रिप्ट करने के लिए HTTPS या DNS-क्रिप्ट पर DNS का उपयोग कर सकते हैं।