DNSSEC là một cơ chế bảo mật được thiết kế để giải quyết vấn đề giả mạo DNS và hỏng bộ đệm. Tên tiếng Anh là Phần mở rộng bảo mật hệ thống tên miền. Nó sử dụng công nghệ mã hóa để cho phép máy chủ phân giải tên miền xác minh các phản hồi mà nó nhận được (bao gồm cả phản hồi cho các tên miền không tồn tại). ) đến từ một máy chủ thực hoặc bị giả mạo trong quá trình truyền.

Nói một cách đơn giản, DNSSEC có thể ngăn chặn việc chiếm quyền điều khiển DNS và đảm bảo rằng tên miền mà người dùng yêu cầu trong quá trình phân giải DNS nhất quán với địa chỉ IP tương ứng. Trước đây, một người bạn của tôi trong lĩnh vực phân giải tên miền miễn phí JD Cloud DNS đã đề xuất sử dụng kết hợp DNSSEC+CAA, điều này có thể đảm bảo tính bảo mật của độ phân giải DNS ở mức độ lớn nhất. Bài viết này sử dụng Google Cloud DNS để thiết lập DNSSEC làm minh chứng.

Việc kích hoạt DNSSEC yêu cầu nỗ lực chung của các nhà đăng ký tên miền, trình phân giải tên miền DNS và DNS cục bộ để hỗ trợ công nghệ DNSSEC. Các nhà đăng ký tên miền trong nước như Alibaba Cloud, Tencent Cloud và Baidu Cloud vẫn chưa biết liệu họ có hỗ trợ DNSSEC hay không. Từ các nhà đăng ký tên miền nước ngoài phổ biến mà tôi sử dụng như GodaddyNameNameCheapNamesilo, họ đều hỗ trợ DNSSEC.

Độ phân giải tên miền DNS cho phép DNSSEC ngăn chặn việc chiếm quyền điều khiển DNS-Cài đặt DNS của Google Cloud DNSSEC

Để làm cho độ phân giải DNS của tên miền chính xác hơn, cách an toàn nhất là bật HSTS+DNS CAA và DNSSEC+DNS qua HTTPS hoặc DNS-Crypt trên máy khách trình duyệt. DNSSEC và các công nghệ khác, các hướng dẫn có liên quan bao gồm:

  1. Thu thập và tóm tắt chứng chỉ SSL miễn phí - thêm quyền truy cập được mã hóa an toàn HTTPS vào trang web miễn phí
  2. Kích hoạt HSTS và tham gia Danh sách tải trước HSTS để giúp truy cập HTTPS vào website an toàn hơn - với phương pháp xóa HSTS
  3. Độ phân giải tên miền miễn phí JD Cloud DNS - hỗ trợ phân đoạn dòng theo khu vực và có thể thêm bản ghi độ phân giải CAA

PS: Cập nhật vào ngày 22 tháng 7 năm 2018, Mặc dù Google Cloud DNS hỗ trợ DNSSEC nhưng nó không hỗ trợ DNS phụ/dự phòng. Những người bạn cần DNS phụ có thể dùng thử: Ứng dụng phân giải tên miền DNS He.net- DDNS miễn phí. , địa chỉ IPv6 và DNS nô lệ.

1. Dịch vụ phân giải tên miền DNS nào hỗ trợ DNSSEC?

Lá chắn DNS trong nước (dnsdun.com) dường như là nhà cung cấp dịch vụ phân giải DNS duy nhất hiện hỗ trợ các bản ghi phân giải CAA và DNSSEC. Những nhà cung cấp khác như DNSPOD, Alibaba Cloud DNS, Cloudxns, v.v. không hỗ trợ DNSSEC. Tuy nhiên, tấm chắn DNS quá hẹp. Mặc dù tôi đã biết về nó được vài năm nhưng tính ổn định của nó vẫn cần được xem xét.

Chỉ có một số độ phân giải tên miền DNS nước ngoài hỗ trợ DNSSEC. Hiện tại, chỉ Cloudflare, Google Cloud DNS và Rage4 hỗ trợ DNSSEC. Ngoài ra, Cloudflare không hỗ trợ thiết lập các bản ghi dành riêng cho DNSSEC, chẳng hạn như IPSECKEY, SSHFP, TLSA. , bản ghi DNSKEY, DS. Nên sử dụng Google Cloud DNS và Rage4.

2. DNSSEC phổ biến đến mức nào? nội địa?

  1. HTTPS://stats.labs.APN IC.net/

Sau đây là mức độ phổ biến của DNSSEC ở các nơi khác nhau trên thế giới trên stats.labs.apnic.net. Qua biểu đồ có thể thấy rằng trên thế giới vẫn còn khá ít máy chủ DNS hỗ trợ DNSSEC, với tổng số không vượt quá 15. %. Tình hình ở Trung Quốc thậm chí còn tồi tệ hơn, dưới 1%. (Bấm vào để phóng to)

3. Hướng dẫn sử dụng và giá DNS của Google Cloud

  1. HTTPS://cloud.Google.com/DNS/

Cả Google Cloud DNS và Rage4 đều hỗ trợ sử dụng DNSSEC, nhưng Rage4 có giá khởi điểm €2/tháng cho mỗi tên miền và được định giá dựa trên chức năng thay vì mức sử dụng, trong khi Google Cloud DNS có giá khởi điểm là 0,2 USD/tháng cho mỗi miền tên , $0,4/triệu yêu cầu. Vì vậy wzfou.com đã chọn Google Cloud DNS.

Cách sử dụng chi tiết của Google Cloud DNS đã được chia sẻ trước khi từ bỏ DNS miễn phí và chuyển sang ứng dụng DNS-Google Cloud DNS trả phí và các hiệu ứng phân giải. Dưới đây là phần giới thiệu ngắn gọn về cách sử dụng Google Cloud DNS. Đầu tiên là đăng nhập vào nền tảng Google Cloud và tìm độ phân giải DNS.

Sau đó nhấp vào Tạo tên DNS.

Bạn có thể chọn bất kỳ tên vùng nào miễn là nó không lặp lại. Tên DNS là tên miền bạn muốn phân giải, chẳng hạn như wzfou.com. Nếu bạn muốn bật DNSSEC, hãy chọn Bật. Chắc chắn.

Việc thêm bản ghi độ phân giải DNS vào Google Cloud DNS tương đối đơn giản. Nếu đó là bản ghi như @, chỉ cần để trống, như minh họa bên dưới:

Google Cloud DNS hỗ trợ các bản ghi liên quan đến A, AAAA, CNAME, NS, MX, TXT, SRV, SPF, LOC, NAPTR, PTR, CAA và DNSSEC. Hiện tại nó là đầy đủ nhất.

Cần lưu ý rằng Google Cloud DNS thêm các bản ghi DNS dưới dạng bộ. Ví dụ: nếu MX có hai bản ghi, bạn chỉ cần nhấp vào để thêm một bản ghi khác.

Google Cloud DNS thêm bản ghi CAA như minh họa trong hình bên dưới. Để biết các phương pháp tạo bản ghi CAA, vui lòng tham khảo: Cài đặt JD Cloud DNS CAA.

4. Nhà đăng ký tên miền Tên kích hoạt DNSSEC

Tìm "Cài đặt công ty đăng ký" trong Google Cloud DNS.

Sau đó bấm vào để hiển thị máy chủ NS và bản ghi DS của Google Cloud DNS.

Vào phần Name của nhà đăng ký tên miền (PS: Cách làm tương tự như các nhà đăng ký tên miền khác mà bạn sử dụng) và sửa đổi máy chủ NS thành Google Cloud DNS.

ns-cloud-d1.googledomains.com
ns-cloud-d2.googledomains.com
ns-cloud-d3.googledomains.com
ns-cloud-d4.googledomains.com

Như được hiển thị bên dưới:

Sau đó điền vào bản ghi DS trong giao diện quản lý DNSSEC về Tên, chủ yếu là Thẻ khóa, Thuật toán, Loại thông báo và Thông báo.

5. Kiểm tra xem DNSSEC có được kích hoạt thành công hay không và tác dụng của nó

  1. HTTPS://DNS Sec-analyzer.VE Kem ban ngày IGN labs.com/

Hãy truy cập trang web verisignlabs và nhập tên miền của bạn. Nếu DS của bạn được cấu hình đúng, bạn sẽ thấy một "móc" màu xanh lá cây.

Sử dụng các công cụ quản trị trang web để kiểm tra wzfou.com khi bật Google Cloud DNS và không có vấn đề gì với kết nối ở bất kỳ đâu.

Khi sử dụng thử nghiệm thu thập dữ liệu của công cụ tìm kiếm của Nền tảng quản trị trang web Baidu, tất cả các kết quả đều cho thấy quá trình thu thập thông tin thành công, cho thấy Google Cloud DNS đang chạy bình thường ở Trung Quốc.

Ngoài ra, phí Google Cloud DNS thực sự khá rẻ.

6. Tóm tắt

Về mặt lý thuyết, việc kích hoạt DNSSEC và CAA về cơ bản có thể ngăn chặn việc chiếm quyền điều khiển DNS. Tuy nhiên, do tỷ lệ thâm nhập hiện tại của DNSSEC rất thấp, đặc biệt là DNS trong nước về cơ bản không hỗ trợ DNSSEC, nên hiệu quả của việc sử dụng DNSSEC ở Trung Quốc có thể không tốt. còn hơn không", xét cho cùng, DNSSEC là một xu hướng phát triển lớn.

Nhóm đầu tiên trong số bốn máy chủ NS của Google Cloud DNS không thể ping được ở Trung Quốc, nhưng từ quan điểm giám sát, DNS không ảnh hưởng đến nó. Ngoài ra, cần lưu ý rằng việc sử dụng DNSSEC cho các tên miền đã bị nhiễm là vô ích. Thay vào đó, bạn có thể sử dụng DNS qua HTTPS hoặc DNS-Crypt để mã hóa toàn bộ quá trình phân giải DNS.

Để lại một câu trả lời