DNSSEC是為解決DNS欺騙和快取Wu染而設計的安全機制,英文名稱叫Domain Name System Security Extensions,利用密碼技術,使得網域解析伺服器可以驗證它所收到的應答(包括網域不存在的應答)是否來自於真實的伺服器,或是否在傳輸過程中被竄改。
簡單地說DNSSEC可以防止DNS劫持,確保用戶在DNS解析的過程中要求的網域名稱與對應的IP位址一致性。之前在京東雲端DNS免費網域解析就有朋友建議DNSSEC+CAA來組合使用,這樣可以最大限度確保DNS解析的安全,這篇文章就以Google Cloud DNS設定DNSSEC來作為示範。
啟用DNSSEC需要網域註冊商、DNS網域解析商還有本地DNS支援DNSSEC技術三方的共同努力才行。國內的阿里雲、騰訊雲、百度雲等網域註冊商暫不了解是否支援DNSSEC,從我使用的GodaddyNameNameCheapNamesilo等常見的國外網域註冊商都是支援DNSSEC了。
提起免費DNS服務,之前受到許多站長青睞的CloudXNS應該是個不錯的選擇。但這一切都在前幾天改變了,由於一些「眾所周知」的原因,cloudxns在沒有任何通知的情況下暫停了絕大多數用戶的解析。我也是這星期從學校回來後才發現這個問題。
在考慮一段時間之後,我還是決定把解析移轉到其他廠商。聞名的Google Cloud DNS是一個不錯的選擇,它主要有以下優勢:NS伺服器採用Anycast技術,確保用戶能得到來自最近伺服器的解析,支援DNSSEC ,100%的SLA ,支援所有主流記錄類型,TTL最低允許設定為1s 。
當然,這些先進的功能(尤其是100%SLA)並不是沒有代價的——Google Cloud DNS並不是免費服務。雖然如此,就像我們總有一天會選擇從免費空間轉入付費虛擬主機或VPS一樣,我並不想再看到因為一些特有因素影響到我的解析,因而我最終選擇了付費DNS解析。
雖然如此,但Google Cloud DNS的價格非常低廉。 1個DNS Zone(可以簡單理解為託管一個網域)每月僅需$0.2,每100萬次DNS查詢僅需$0.4。且GCP還附有50000次/天的免費額度。對於個人部落格來說,免費配額都已經相當充足,即每月只需支付0.2美元的託管費用即可。這個價格對於絕大多數使用付費主機的站長來說都已經低廉到可以忽略了。
