在日常玩cloudflare的时候发现dns下的免费 DNSSEC 竟然没有使用,这怎么行呢,先看看DNSSEC是什么。 域名系统安全扩展(简称:DNSSEC)是添加到域名的DNS域名系统确定源域名的可靠性数字签名,并有助于防止恶意活动缓存中毒、域欺骗和拦截中的攻击,所以这当然是要给域名bobobk.com上的。 启用dnssec主要涉及到两部分,第一部分在cloudflare启用dnssec获取需要设置的ds record信息。第二部分在域名注册商出添加cloudflare给出的ds record信息。

步骤1:cloudflare启用dnssec

打开dns设置项,找到dnssec,enable。 enable_dnssec

步骤2:域名购买的地方添加ds record

由于域名在阿里云购买因此在阿里云添加记录。如果是其他服务商注册,可看cloudflare support详细教程。 首先登陆阿里云控制台,找到域名,管理。 domain_manage 添加DS记录。出现如下设置项。 ds_record_ali.webp 这里前面3项在cloudflare里面都是跟我图里面一样的。 - “关键标签”对应cloudflare的”Key Tag” - “加密算法”对应cloudflare的”Algorithm” - “摘要类型”对应cloudflare的”Digest Type” - “摘要”对应CF的”Digest” 按相应的设置完后,就可以 分别是2371,13…256,2-sha-256只需要最后一项把cloudflare里面的Digest项值复制粘贴过来就行。

设置好后10分钟内就会生效了,检查域名系统安全扩展(dnssec)是否启用可在https://dnssec-analyzer.verisignlabs.com检测。 dnssec_check

检测本站dnssec状态,可以看到已经成功启用。