什么是 DNSSEC?
域名安全扩展 (DNSSEC) 是高级 DNS 功能,通过将数字签名 (DS) 记录附加到其 DNS 信息上,为您的域名增加了一层额外的安全保护。升级到尊享版 DNS,您便可以在账户中启用 DNSSEC。如果您使用自我管理 DNSSEC,则可以在账户中手动添加 DS 记录。
选择一个问题以查看其答案:
- 什么是 DNSSEC?
- 启用 DNSSEC 后,为什么我的网站不再解析?
- 如何启用 DNSSEC 并签名我的区域?
- 我怎么知道我请求的 URL 是否识别 DNSSEC?
- 既然 DNSSEC 使互联网更安全,那么为什么不是所有人都使用呢?
- 有没有什么理由证明不应使用 DNSSEC?
什么是 DNSSEC?
域名系统安全扩展 (DNSSEC) 将数字签名添加到域名的 DNS(域名系统)中,以确定源域名的真实性。旨在保护互联网用户免受伪造的 DNS 数据(例如,误导性或恶意地址而不是所请求的合法地址)的侵害。
一经启用 DNSSEC,DNS 查找将使用数字签名验证网站 DNS 来源是否有效。这有助于防范某些类型的攻击;如果数字签名不匹配,浏览器将不会显示网站。
启用 DNSSEC 后,为什么我的网站不再解析?
存储在 DS(签名委派)记录中的数字签名必须与您域名的域名服务器生成的数字签名相匹配。如果不匹配,域名无法解析为您的网站。对照存储在域名服务器上的区域记录,仔细检查您输入的 DS 记录信息,并确保其匹配。
如何启用 DNSSEC 并签名我的区域?
GoDaddy 通过我们的尊享版 DNS 为 DNSSEC 提供了完全托管的选项。如果您的域名使用 GoDaddy 域名服务器,则可以在域名上启用 DNSSEC,我们将代您处理区域签名过程。
如果您的域名是在 GoDaddy 上注册,但是不是使用 GoDaddy 的域名服务器,则需要通过 DNS 提供商设置自我管理 DNSSEC。您需要在域名签名过程中以数字方式创建私钥和公钥,并生成签名声明记录。要求和限制可能因域名注册局和 DNS 提供商而异。请联系您的 DNS 提供商以获取更多信息,或切换到 GoDaddy 域名服务器和尊享版 DNS,以通过我们启用完全托管的 DNSSEC。
我怎么知道我请求的 UR L是否识别 DNSSEC?
如果一个可识别 DNSSEC 的 URL 存在验证问题,您会收到一条消息,指示该站点不存在。
很遗憾,目前浏览器未设置为可识别 DNSSEC。浏览器不会像站点受到 SSL 保护便会显示挂锁图标那样,为您提供关于 DNSSEC 保护站点的视觉反馈。
既然 DNSSEC 使互联网更安全,那么为什么不是所有人都使用呢?
面向整个互联网实施 DNSSEC 是一项伟大工程。在全球范围内实施需要付出很多努力,达成共识并投入资金(通常数额庞大)。DNSSEC 实施工作正在稳步向前发展,一次实施一个域名扩展名及其注册局。当每个扩展名都可以识别 DNSSEC 时,我们将支持通过我们注册的域名。
有没有什么理由证明不应使用 DNSSEC?
尽管没有绝对理由证明域名不应使用 DNSSEC,但某些因素可能导致结果不够理想。DNSSEC 需要收集更多的信息,因而可能会降低网站性能。同时,DNS 也会因此变得更加脆弱,故障几率可能会略有增加。
但对于需要保护宝贵数据的企业而言,潜在风险最低,启用 DNSSEC 是一项很有价值的决定。如果日常不会受到恶意活动侵扰、不收集敏感数据而且身份并不引人瞩目(即政治人物),则可能希望放弃 DNSSEC。
相关步骤
- 升级至尊享版 DNS并启用 DNSSEC,充分利用完全托管 DNSSEC 服务。
- 对于自我管理 DNSSEC,向您的域名添加新的 DS 记录。