DNSSEC は、DNS スプーフィングとキャッシュ汚染を解決するために設計されたセキュリティ メカニズムです。英語名は Domain Name System Security Extensions で、ドメイン名解決サーバーが受信した応答 (存在しないドメイン名に対する応答も含む) を検証できるようにします。 ). ) は実際のサーバーから送信されたか、送信中に改ざんされました。
簡単に言えば、DNSSEC は DNS ハイジャックを防止し、DNS 解決プロセス中にユーザーが要求したドメイン名が対応する IP アドレスと一致していることを保証します。以前、JD Cloud DNS の無料ドメイン名解決に携わる私の友人が、DNSSEC と CAA を組み合わせて使用することを提案しました。これにより、DNS 解決のセキュリティが最大限に確保されます。この記事では、デモンストレーションとして Google Cloud DNS を使用して DNSSEC を設定します。
DNSSEC を有効にするには、DNSSEC テクノロジーをサポートするために、ドメイン名レジストラ、DNS ドメイン名リゾルバー、およびローカル DNS が共同で取り組む必要があります。 Alibaba Cloud、Tencent Cloud、Baidu Cloud などの国内ドメイン名レジストラは、DNSSEC をサポートしているかどうかまだわかっていません。GodaddyNameNameCheapNamesilo など、私が使用している一般的な海外ドメイン名レジストラはすべて DNSSEC をサポートしています。
ドメイン名の DNS 解決をより正確にするために、最も安全な方法は、ブラウザ クライアントで HTTPS または DNS-Crypt 経由で HSTS+DNS CAA および DNSSEC+DNS を有効にすることです。 DNSSEC およびその他のテクノロジーに関する関連チュートリアルには次のものが含まれます。
- 無料の SSL 証明書の収集と概要 - Web サイトへの HTTPS で安全な暗号化アクセスを無料で追加します
- HSTS を有効にして HSTS プリロード リストに参加し、Web サイトへの HTTPS アクセスをより安全にします - HSTS を削除する方法を使用します。
- JD Cloud DNS 無料のドメイン名解決 - 回線の地域セグメント化をサポートし、CAA 解決レコードを追加できます
追記: 2018 年 7 月 22 日に更新されました。Google Cloud DNS は DNSSEC をサポートしていますが、セカンダリ/バックアップ DNS はサポートしていません。セカンダリ DNS が必要な友人は、He.net DNS ドメイン名解決アプリケーション - 無料の DDNS を試すことができます。 、IPv6 アドレスとスレーブ DNS。
1. DNSSEC をサポートしている DNS ドメイン名解決サービスはどれですか?
国内 DNS シールド (dnsdun.com) は、現在 CAA および DNSSEC 解決レコードをサポートしている唯一の DNS 解決サービス プロバイダーであるようです。DNSPOD、Alibaba Cloud DNS、Cloudxns などの他のプロバイダーは DNSSEC をサポートしていません。ただし、DNS シールドはニッチすぎます。私は数年前からその存在を知っていましたが、その安定性についてはまだ考慮する必要があります。
DNSSEC をサポートする外部 DNS ドメイン名解決は現在、Cloudflare、Google Cloud DNS、および Rage4 のみです。また、Cloudflare は、IPSECKEY、SSHFP、TLSA などの DNSSEC 固有のレコードの設定をサポートしていません。 、DNSKEY、DS レコード。 Google Cloud DNS と Rage4 を使用することをお勧めします。
2. DNSSEC はどのくらい普及していますか?国内?
- HTTPS://stats.labs.APN IC.net/
以下は、stats.labs.apnic.net における世界中のさまざまな場所での DNSSEC の人気度です。このグラフから、DNSSEC をサポートする DNS サーバーは世界中でまだ非常に少なく、合計数が 15 を超えていないことがわかります。 %。中国の状況はさらに悪く、1%を下回っている。 (拡大するにはクリックしてください)
3. Google Cloud DNS の価格と使用方法のチュートリアル
- HTTPS://cloud.Google.com/DNS/
Google Cloud DNS と Rage4 はどちらも DNSSEC の使用をサポートしていますが、Rage4 はドメイン名あたり 月額 2 ユーロ からで、使用量ではなく機能に基づいて価格設定されます。一方、Google Cloud DNS はドメインあたり月額 0.2 ドルからです。名前 、$0.4/100 万リクエスト。そこで、wzfou.com は Google Cloud DNS を選択しました。
無料 DNS をやめて有料 DNS に切り替える前に Google Cloud DNS の詳しい使い方を共有しました - Google Cloud DNS のアプリケーションと解決効果 ここでは、Google Cloud DNS の使い方について簡単に紹介します。 1 つ目は、Google Cloud プラットフォームにログインし、DNS 解決を見つけることです。
次に、「DNS 名の作成」をクリックします。
重複しない限り、任意のリージョン名を選択できます。 DNS 名は、wzfou.com など、解決するドメイン名です。DNSSEC を有効にする場合は、[有効にする] を選択します。もちろん。
DNS 解決レコードを Google Cloud DNS に追加するのは比較的簡単です。@ のようなレコードの場合は、次のように空白のままにします。
Google Cloud DNS は、A、AAAA、CNAME、NS、MX、TXT、SRV、SPF、LOC、NAPTR、PTR、CAA、DNSSEC 関連のレコードをサポートしています。現在のところ、それが最も完成度が高いです。
たとえば、MX に 2 つのレコードがある場合、Google Cloud DNS は DNS レコードをセットの形式で追加するので、クリックするだけで別のレコードを追加できることに注意してください。
Google Cloud DNS は、以下の図に示すように CAA レコードを追加します。CAA レコードの生成方法については、「JD Cloud DNS 設定 CAA」を参照してください。
4. ドメイン名レジストラ名により DNSSEC が有効になります
Google Cloud DNS で「レジストラ設定」を見つけます。
次にクリックすると、Google Cloud DNS の NS サーバーと DS レコードが表示されます。
ドメイン名レジストラ名に移動し (追記: 方法は、使用している他のドメイン名レジストラと同様です)、NS サーバーを Google Cloud DNS に変更します。
ns-cloud-d1.googledomains.com
ns-cloud-d2.googledomains.com
ns-cloud-d3.googledomains.com
ns-cloud-d4.googledomains.com
以下に示すように:
次に、DNSSEC 管理インターフェイスの DS レコードに名前、主にキー タグ、アルゴリズム、ダイジェスト タイプ、ダイジェストを入力します。
5. DNSSEC が正常に有効になっているかどうかとその効果を確認します。
- HTTPS://DNS Sec-analyzer.VE デイ クリーム IGN labs.com/
verisignlabs の Web サイトにアクセスし、ドメイン名を入力します。DS が正しく設定されている場合は、緑色の「フック」が表示されます。
ウェブマスター ツールを使用して、Google Cloud DNS を有効にして wzfou.com をテストすると、どこでも接続に問題はありません。
Baidu ウェブマスター プラットフォームの検索エンジン クロール テストを使用すると、すべての結果でクロールが成功したことが示され、Google Cloud DNS が中国で正常に実行されていることを示します。
さらに、Google Cloud DNS の料金は非常に安いです。
6. まとめ
理論的には、DNSSEC と CAA を有効にすると、基本的に DNS ハイジャックを防ぐことができます。ただし、現在の DNSSEC の普及率は非常に低く、特に国内の DNS は基本的に DNSSEC をサポートしていないため、中国で DNSSEC を使用する効果は良くない可能性があります。結局のところ、DNSSEC は主要な開発トレンドです。
Google Cloud DNS の 4 つの NS サーバーのうち最初のグループは中国では ping できませんが、モニタリングの観点からは DNS は影響しません。さらに、すでに汚染されているドメイン名に DNSSEC を使用するのは無意味であることに注意してください。代わりに、DNS over HTTPS または DNS-Crypt を使用して、DNS 解決プロセス全体を暗号化できます。