DNSSEC è un meccanismo di sicurezza progettato per risolvere lo spoofing DNS e l'inquinamento della cache. Il nome inglese è Domain Name System Security Extensions. Utilizza la tecnologia crittografica per consentire al server di risoluzione dei nomi di dominio di verificare le risposte che riceve (comprese le risposte per nomi di dominio inesistenti. ) proveniva da un server reale o è stato manomesso durante la trasmissione.
In poche parole, DNSSEC può prevenire il dirottamento DNS e garantire che il nome di dominio richiesto dall'utente durante il processo di risoluzione DNS sia coerente con l'indirizzo IP corrispondente. In precedenza, un mio amico nella risoluzione gratuita dei nomi di dominio JD Cloud DNS ha suggerito di utilizzare DNSSEC+CAA in combinazione, che può garantire la massima sicurezza della risoluzione DNS. Questo articolo utilizza Google Cloud DNS per impostare DNSSEC come dimostrazione.
L'abilitazione di DNSSEC richiede gli sforzi congiunti dei registrar dei nomi di dominio, dei risolutori dei nomi di dominio DNS e del DNS locale per supportare la tecnologia DNSSEC. I registrar di nomi di dominio nazionali come Alibaba Cloud, Tencent Cloud e Baidu Cloud non sanno ancora se supportano DNSSEC. Dai comuni registrar di nomi di dominio stranieri che utilizzo, come GodaddyNameNameCheapNamesilo, supportano tutti DNSSEC.
Per rendere la risoluzione DNS del nome di dominio più accurata, il modo più sicuro è abilitare HSTS+DNS CAA e DNSSEC+DNS su HTTPS o DNS-Crypt sul client del browser Attualmente, wzfou.com ha adottato Https, CAA, HSTS e DNSSEC e altre tecnologie, i tutorial pertinenti includono:
- Raccolta e riepilogo gratuiti dei certificati SSL: aggiungi gratuitamente l'accesso crittografato sicuro HTTPS al sito Web
- Abilita HSTS e iscriviti all'elenco di precaricamento HSTS per rendere più sicuro l'accesso HTTPS al sito Web, con metodi per eliminare HSTS
- Risoluzione gratuita dei nomi di dominio JD Cloud DNS: supporta la segmentazione regionale delle linee e può aggiungere record di risoluzione CAA
PS: aggiornato il 22 luglio 2018, Sebbene Google Cloud DNS supporti DNSSEC, non supporta DNS secondario/di backup. Gli amici che necessitano di DNS secondario possono provare: Applicazione di risoluzione dei nomi di dominio DNS He.net - DDNS gratuito , indirizzo IPv6 e DNS slave.
1. Quali servizi di risoluzione dei nomi di dominio DNS supportano DNSSEC?
Scudo DNS domestico (dnsdun.com) sembra essere l'unico fornitore di servizi di risoluzione DNS che attualmente supporta i record di risoluzione CAA e DNSSEC. Altri come DNSPOD, Alibaba Cloud DNS, Cloudxns, ecc. non supportano DNSSEC. Tuttavia lo scudo DNS è troppo di nicchia. Sebbene lo conosca da diversi anni, bisogna ancora considerarne la stabilità.
Esistono solo poche risoluzioni di nomi di dominio DNS stranieri che supportano DNSSEC. Attualmente, solo Cloudflare, Google Cloud DNS e Rage4 supportano DNSSEC. Inoltre, Cloudflare non supporta l'impostazione di record specifici DNSSEC, come IPSECKEY, SSHFP, TLSA. , DNSKEY, record DS. Si consiglia di utilizzare Google Cloud DNS e Rage4.
2. Quanto è popolare DNSSEC? domestico?
- HTTPS://stats.labs.APN IC.net/
Quella che segue è la popolarità di DNSSEC in diversi luoghi nel mondo su stats.labs.apnic.net. Dal grafico si può vedere che ci sono ancora pochi server DNS che supportano DNSSEC nel mondo, con un numero totale che non supera i 15. %. La situazione in Cina è ancora peggiore, al di sotto dell’1%. (Clicca per ingrandire)
3. Tutorial su prezzi e utilizzo di Google Cloud DNS
- HTTPS://cloud.Google.com/DNS/
Sia Google Cloud DNS che Rage4 supportano l'uso di DNSSEC, ma Rage4 parte da € 2/mese per nome di dominio e il suo prezzo si basa sulle funzioni anziché sull'utilizzo, mentre Google Cloud DNS parte da $ 0,2/mese per dominio nome , $0,4/milione di richieste. Quindi wzfou.com ha scelto Google Cloud DNS.
L'utilizzo dettagliato di Google Cloud DNS è stato condiviso prima di rinunciare al DNS gratuito e passare all'applicazione DNS-Google cloud DNS a pagamento e agli effetti di risoluzione. Ecco una breve introduzione all'utilizzo di Google Cloud DNS. Il primo è accedere alla piattaforma Google Cloud e trovare la risoluzione DNS.
Quindi fare clic su Crea nome DNS.
Puoi scegliere qualsiasi nome di regione purché non si ripeta. Il nome DNS è il nome di dominio che desideri risolvere, ad esempio wzfou.com. Se desideri abilitare DNSSEC, seleziona Abilita. Sicuro.
È relativamente semplice aggiungere un record di risoluzione DNS a Google Cloud DNS. Se è un record come @, lascialo vuoto, come mostrato di seguito:
Google Cloud DNS supporta i record correlati A, AAAA, CNAME, NS, MX, TXT, SRV, SPF, LOC, NAPTR, PTR, CAA e DNSSEC. Attualmente è il più completo.
Va notato che Google Cloud DNS aggiunge record DNS sotto forma di set. Ad esempio, se MX ha due record, devi solo fare clic per aggiungerne un altro.
Google Cloud DNS aggiunge record CAA come mostrato nella figura seguente Per i metodi per generare record CAA, fare riferimento a: Impostazioni DNS JD Cloud CAA.
4. Il nome del registrar del nome di dominio abilita DNSSEC
Trova "Impostazioni registratore" in Google Cloud DNS.
Quindi fare clic per visualizzare il server NS e il record DS di Google Cloud DNS.
Vai al registrar di nomi di dominio Nome (PS: il metodo è simile a quello di altri registrar di nomi di dominio che utilizzi) e modifica il server NS in Google Cloud DNS.
ns-cloud-d1.googledomains.com
ns-cloud-d2.googledomains.com
ns-cloud-d3.googledomains.com
ns-cloud-d4.googledomains.com
Come mostrato di seguito:
Quindi compilare il record DS nell'interfaccia di gestione DNSSEC di Nome, principalmente Key Tag, Algoritmo, Digest Type e Digest.
5. Controlla se DNSSEC è stato abilitato correttamente e il suo effetto
- HTTPS://DNS Sec-analyzer.VE Crema da giorno IGN labs.com/
Vai al sito web di verisignlabs e inserisci il tuo nome di dominio. Se il tuo DS è configurato correttamente, vedrai un "gancio" verde.
Utilizza gli strumenti per i webmaster per testare wzfou.com con Google Cloud DNS abilitato e non ci saranno problemi con la connessione ovunque.
Quando si utilizza il test di scansione del motore di ricerca di Baidu Webmaster Platform, tutti i risultati indicano che la scansione ha avuto esito positivo, indicando che Google Cloud DNS funziona normalmente in Cina.
Inoltre, i costi di Google Cloud DNS sono davvero piuttosto economici.
6. Riepilogo
In teoria, l'attivazione di DNSSEC e CAA può sostanzialmente impedire il dirottamento del DNS. Tuttavia, poiché l'attuale tasso di penetrazione del DNSSEC è molto basso, in particolare il DNS domestico sostanzialmente non supporta il DNSSEC, l'effetto dell'utilizzo del DNSSEC in Cina potrebbe non essere buono, ma "migliore". che niente", dopo tutto DNSSEC è un importante trend di sviluppo.
In Cina non è possibile eseguire il ping del primo gruppo dei quattro server NS di Google Cloud DNS, ma dal punto di vista del monitoraggio il DNS non influisce su di esso. Inoltre, va notato che è inutile utilizzare DNSSEC per nomi di dominio già contaminati, è invece possibile utilizzare DNS over HTTPS o DNS-Crypt per crittografare l'intero processo di risoluzione DNS.