京東雲推出了DNS網域解析服務,但由於習慣問題一直在使用DNSPOD。最近,收到了不少朋友的回饋,提示說挖站否在個別地區無法訪問。排除了主機線路的問題後,猜測可能是出在了DNS解析這一環節上,畢竟伺服器放在國外或多或少地存問題。
於是想到要為DNS新增CAA記錄。 CAA全稱為DNS Certification Authority Authorization,即DNS憑證授權單位授權,借助互聯網的網域名稱系統(DNS),使網域持有人可以指定允許為其網域簽發憑證的數位憑證認證機構(CA)的技術。
CAA記錄在一定程度上可以防止中間人偽造SSL憑證劫持網址連接,可以最大限度地保護正常的DNS解析。可惜的是,國內最大的免費DNS解析服務商DNSPOD居然不支援CAA記錄,截止目前cloudxns、京東雲DNS已經支援了CAA記錄解析。
本篇文章就來分享京東雲DNS的網域解析服務,目前京東雲DNS可以免費升級到企業版,支援電信、行動、聯通、方正、華數、鐵通、長寬等智慧線路解析。最低TTL為60秒,支援泛解析,流量防護為2GB,QPS防護5W,總得來說企業版京東雲DNS要強於DNSPOD。
關於免費DNS解析服務,大家還可以看看這些:
- 放棄免費DNS改用付費DNS-Google cloud DNS申請使用與解析效果
- 國內外免費DNS網域解析服務總表-尋找更多免費DNS網域解析
- 國外域名商Name和Namecheap使用對比-便宜.com域名和Whois保護
PS:2018年6月26日更新,感謝好友日雜記的熱心提醒,目前國內支援CAA的免費DNS有以下幾個:DNS.com、阿里雲(萬網)DNS、DNSDUN. com。其中DNSDUN也支援國內分區解析和DNSSEC(不過需要付費才能使用)
PS:2018年7月4日更新,京東雲雖然支援CAA,但不支援DNSSEC,想要體驗更安全的DNS解析,可以試試GCP DNS:DNS網域解析啟用DNSSEC防止DNS劫持-Google Cloud DNS設定DNSSEC。
一、京東雲DNS註冊使用
網站:
- HTTPS://嗚嗚嗚.覺得醜的.com/
DNS網域解析服務是京東雲的主要業務,你只要登入京東雲端管理後台就可以找到DNS網域解析頁面了,關於京東雲VPS可以看我之前的評測:Jcloud京東雲VPS主機效能與速度評測-價格便宜但VPS硬碟IO讀寫慢。
目前京東雲DNS企業版還在免費當中,現在添加網域直接升級為京東雲DNS企業版本,以下是京東雲DNS免費版與企業版的功能差異。 (點擊放大)
新增 CAA 記錄的說明如下:
主機記錄 直接填寫頂級域名,會自動套用到多層域名。
CAA data 填寫
0 issue "憑證授權單位網域名稱"。
如果你用 Let’s Encrypt 核發的免費證書,CAA data部分直接填寫0 issue "letsencrypt.org"即可。你也可以加入一筆為
0 iodef mailto:iwzfou@gmail.com的 CAA 記錄,表示如果發現違反 CAA 記錄的情況給這個郵箱發郵件通知。
除了Google Cloud DNS, Route 53, DNSimple等常見了DNS解析服務外,如果你用的是BIND、PowerDNS、dnsmasq等,添加域名CAA記錄與上面會有所不同,建議使用CAA記錄自動在線生成來搞定。
- HTTPS://SSL mate.com/CAA/
直接輸入域名,工具會自動查詢你的網站使用了什麼證書,然後就可以看到你要填寫的CAA記錄了,以下是wzfou.com添加CAA記錄後的效果。
最後,我們可以使用SSL憑證線上偵測網站來查看自己的網域CAA記錄是否生效:https://www.ssllabs.com/ssltest/index.html。
四、總結
目前在京東雲DNS新增網域都可以免費升級到企業版本,企業版的京東雲DNS功能上相對於免費版的DNS更多也更加實用,例如線路劃分、CAA記錄、地理劃分等,這些都是DNSPOD所沒有的了。
對於DNS CAA記錄,可以說在一定程度上可以防止中間人偽造SSL證書劫持DNS解析,為了確保DNS“萬無一失”,建議啟用HSTS並加入HSTS Preload List讓網站Https訪問更加安全。效果請見wzfou.com網站。