DNSSEC é um mecanismo de segurança projetado para resolver falsificação de DNS e poluição de cache. O nome em inglês é Extensões de Segurança do Sistema de Nomes de Domínio. Ele usa tecnologia criptográfica para permitir que o servidor de resolução de nomes de domínio verifique as respostas que recebe (incluindo respostas para nomes de domínio inexistentes). ). ) veio de um servidor real ou foi adulterado durante a transmissão.
Simplificando, o DNSSEC pode impedir o sequestro de DNS e garantir que o nome de domínio solicitado pelo usuário durante o processo de resolução de DNS seja consistente com o endereço IP correspondente. Anteriormente, um amigo meu na resolução gratuita de nomes de domínio do JD Cloud DNS sugeriu o uso combinado de DNSSEC + CAA, o que pode garantir ao máximo a segurança da resolução de DNS. Este artigo usa o Google Cloud DNS para configurar o DNSSEC como uma demonstração.
Habilitar o DNSSEC requer os esforços conjuntos de registradores de nomes de domínio, resolvedores de nomes de domínio DNS e DNS local para oferecer suporte à tecnologia DNSSEC. Os registradores de nomes de domínio domésticos, como Alibaba Cloud, Tencent Cloud e Baidu Cloud, ainda não sabem se oferecem suporte a DNSSEC. Dos registradores de nomes de domínio estrangeiros comuns que uso, como GodaddyNameNameCheapNamesilo, todos eles oferecem suporte a DNSSEC.
Para tornar a resolução DNS de nomes de domínio mais precisa, a maneira mais segura é habilitar HSTS+DNS CAA e DNSSEC+DNS sobre HTTPS ou DNS-Crypt no cliente do navegador. Atualmente, wzfou.com adotou Https, CAA, HSTS e. DNSSEC e outras tecnologias, os tutoriais relevantes incluem:
- Coleta e resumo gratuitos de certificados SSL - adicione acesso criptografado seguro HTTPS ao site gratuitamente
- Habilite o HSTS e junte-se à lista de pré-carregamento do HSTS para tornar o acesso HTTPS ao site mais seguro - com métodos para excluir o HSTS
- Resolução gratuita de nomes de domínio JD Cloud DNS - suporta segmentação regional de linhas e pode adicionar registros de resolução CAA
PS: Atualizado em 22 de julho de 2018, Embora o Google Cloud DNS ofereça suporte a DNSSEC, ele não oferece suporte a DNS secundário/de backup. Amigos que precisam de DNS secundário podem tentar: Aplicativo de resolução de nome de domínio DNS He.net - DDNS gratuito. , endereço IPv6 e DNS escravo.
1. Quais serviços de resolução de nomes de domínio DNS oferecem suporte a DNSSEC?
Escudo DNS doméstico (dnsdun.com) parece ser o único provedor de serviços de resolução de DNS que atualmente oferece suporte a registros de resolução CAA e DNSSEC. Outros, como DNSPOD, Alibaba Cloud DNS, Cloudxns, etc., não oferecem suporte a DNSSEC. No entanto, o escudo DNS é muito específico. Embora eu já saiba disso há vários anos, sua estabilidade ainda precisa ser considerada.
Existem apenas algumas resoluções de nomes de domínio DNS estrangeiros que oferecem suporte a DNSSEC. Atualmente, apenas Cloudflare, Google Cloud DNS e Rage4 oferecem suporte a DNSSEC. Além disso, Cloudflare não oferece suporte à configuração de registros específicos de DNSSEC, como IPSECKEY, SSHFP, TLSA. , DNSKEY, registros DS. Recomenda-se usar Google Cloud DNS e Rage4.
2. Quão popular é o DNSSEC? doméstico?
- HTTPS://stats.labs.APN IC.net/
A seguir está a popularidade do DNSSEC em diferentes lugares ao redor do mundo em stats.labs.apnic.net. Pode-se ver no gráfico que ainda existem poucos servidores DNS que suportam DNSSEC no mundo, com o número total não excedendo 15. %. A situação na China é ainda pior, abaixo de 1%. (Clique para ampliar)
3. Tutorial de preço e uso do DNS do Google Cloud
- HTTPS://cloud.Google.com/DNS/
Tanto o Google Cloud DNS quanto o Rage4 oferecem suporte ao uso de DNSSEC, mas o Rage4 custa a partir de € 2/mês por nome de domínio e tem um preço baseado nas funções e não no uso, enquanto o Google Cloud DNS começa em US$ 0,2/mês por domínio nome , $0,4/milhão de solicitações. Então wzfou.com escolheu o Google Cloud DNS.
O uso detalhado do DNS do Google Cloud foi compartilhado antes de abandonar o DNS gratuito e mudar para o aplicativo DNS pago do Google Cloud e os efeitos de resolução. Aqui está uma breve introdução ao uso do DNS do Google Cloud. A primeira é fazer login na plataforma Google Cloud e encontrar a resolução DNS.
Em seguida, clique em Criar nome DNS.
Você pode escolher qualquer nome de região, desde que não se repita. O nome DNS é o nome de domínio que você deseja resolver, como wzfou.com. Se quiser habilitar o DNSSEC, selecione Habilitar. Claro.
É relativamente simples adicionar um registro de resolução DNS ao DNS do Google Cloud. Se for um registro como @, basta deixar em branco, conforme mostrado abaixo:
O Google Cloud DNS oferece suporte a registros relacionados A, AAAA, CNAME, NS, MX, TXT, SRV, SPF, LOC, NAPTR, PTR, CAA e DNSSEC. Atualmente é o mais completo.
Deve-se observar que o Google Cloud DNS adiciona registros DNS na forma de conjuntos. Por exemplo, se MX tiver dois registros, basta clicar para adicionar outro.
O Google Cloud DNS adiciona registros CAA conforme mostrado na figura abaixo Para métodos para gerar registros CAA, consulte: Configurações de DNS do JD Cloud CAA.
4. O nome do registrador de nomes de domínio permite DNSSEC
Encontre "Configurações do registrador" no Google Cloud DNS.
Em seguida, clique para exibir o servidor NS e o registro DS do Google Cloud DNS.
Vá para o nome do registrador de nomes de domínio (PS: o método é semelhante a outros registradores de nomes de domínio que você usa) e modifique o servidor NS para Google Cloud DNS.
ns-cloud-d1.googledomains.com
ns-cloud-d2.googledomains.com
ns-cloud-d3.googledomains.com
ns-cloud-d4.googledomains.com
Como mostrado abaixo:
Em seguida, preencha o registro DS na interface de gerenciamento DNSSEC de Nome, principalmente Key Tag, Algoritmo, Digest Type e Digest.
5. Verifique se o DNSSEC foi habilitado com sucesso e seu efeito
- HTTPS://DNS Sec-analyzer.VE Day Cream IGN labs.com/
Acesse o site da verisignlabs e digite seu nome de domínio. Se o seu DS estiver configurado corretamente, você verá um “gancho” verde.
Use as ferramentas para webmasters para testar wzfou.com com o Google Cloud DNS ativado e não haverá problemas de conexão em nenhum lugar.
Ao usar o teste de rastreamento do mecanismo de pesquisa da Baidu Webmaster Platform, todos os resultados indicam que o rastreamento foi bem-sucedido, indicando que o Google Cloud DNS está funcionando normalmente na China.
Além disso, as tarifas do Google Cloud DNS são realmente muito baratas.
6. Resumo
Teoricamente falando, habilitar DNSSEC e CAA pode basicamente evitar o sequestro de DNS. No entanto, como a taxa de penetração atual do DNSSEC é muito baixa, especialmente o DNS doméstico basicamente não suporta DNSSEC, o efeito do uso de DNSSEC na China pode não ser bom. do que nada", afinal, o DNSSEC é uma grande tendência de desenvolvimento.
O primeiro grupo dos quatro servidores NS do Google Cloud DNS não pode receber ping na China, mas do ponto de vista do monitoramento, o DNS não o afeta. Além disso, deve-se notar que é inútil usar DNSSEC para nomes de domínio já contaminados. Em vez disso, você pode usar DNS sobre HTTPS ou DNS-Crypt para criptografar todo o processo de resolução de DNS.