以前使用DNS首先想到的是免費DNS,因為DNS網域解析相對於主機、網域來說付不付費真的看起來沒那麼重要。而實際中,也存不少的免費DNS,例如DNSPOD、Cloudxns、阿里雲解析、京東雲DNS等,在這篇文章國內外免費DNS網域解析服務總表可以找到更多。
自從把網站放在國外後,發現DNS解析還蠻重要的。一開始使用的是DNSPOD,免費的並且在國內回應肯定是最快的,但是DNSPOD不支援DNSSEC,甚至連CAA都不支援。於是改用國外的DNS:Google Cloud DNS設定DNSSEC,DNSSEC、CAA都可以用上了。
花了一段時間後發現了NS1.com的Anycast節點非常多,而且還支援Master/Slave主從DNS,於是就上了NS1 DNS網域解析了。不過,可惜的是NS1.com的免費額度非常少,一個月一定是要超額被扣費的,於是就用上了ClouDNS和DNS Made Easy了。
DNSSEC是為解決DNS欺騙和快取Wu染而設計的安全機制,英文名稱叫Domain Name System Security Extensions,利用密碼技術,使得網域解析伺服器可以驗證它所收到的應答(包括網域不存在的應答)是否來自於真實的伺服器,或是否在傳輸過程中被竄改。
簡單地說DNSSEC可以防止DNS劫持,確保用戶在DNS解析的過程中要求的網域名稱與對應的IP位址一致性。之前在京東雲端DNS免費網域解析就有朋友建議DNSSEC+CAA來組合使用,這樣可以最大限度確保DNS解析的安全,這篇文章就以Google Cloud DNS設定DNSSEC來作為示範。
啟用DNSSEC需要網域註冊商、DNS網域解析商還有本地DNS支援DNSSEC技術三方的共同努力才行。國內的阿里雲、騰訊雲、百度雲等網域註冊商暫不了解是否支援DNSSEC,從我使用的GodaddyNameNameCheapNamesilo等常見的國外網域註冊商都是支援DNSSEC了。
