阿里云域名启用DNSSEC域名解析防止DNS劫持
2019-08-13
杂谈
在日常玩cloudflare的时候发现dns下的免费 DNSSEC 竟然没有使用,这怎么行呢,先看看DNSSEC是什么。 域名系统安全扩展(简称:DNSSEC)是添加到域名的DNS域名系统确定源域名的可靠性数字签名,并有助于防止恶意活动缓存中毒、域欺骗和拦截中的攻击,所以这当然是要给域名bobobk.com上的。 启用dnssec主要涉及到两部分,第一部分在cloudflare启用dnssec获取需要设置的ds record信息。第二部分在域名注册商出添加cloudflare给出的ds record信息。
步骤1:cloudflare启用dnssec
打开dns设置项,找到dnssec,enable。
步骤2:域名购买的地方添加ds record
由于域名在阿里云购买因此在阿里云添加记录。如果是其他服务商注册,可看cloudflare support详细教程。
首先登陆阿里云控制台,找到域名,管理。
添加DS记录。出现如下设置项。
这里前面 3 项直接对应 Cloudflare 提供的参数。
- “关键标签"对应cloudflare的"Key Tag”
- “加密算法”对应cloudflare的"Algorithm”
- “摘要类型”对应cloudflare的"Digest Type”
- “摘要"对应CF的"Digest”
实际操作时,最稳妥的方法就是把 Cloudflare 页面给出的 Key Tag、Algorithm、Digest Type 和 Digest 一项一项原样填写到阿里云的 DS 记录里,不要自己推算或改写格式。
设置好后通常几分钟到几十分钟内会逐步生效。检查域名系统安全扩展(DNSSEC)是否启用,可在 https://dnssec-analyzer.verisignlabs.com 检测,也可以在本地命令行直接查询:
dig +dnssec bobobk.com
dig DS bobobk.com
检测本站dnssec状态,可以看到已经成功启用。
启用 DNSSEC 的关键不是步骤多,而是 Cloudflare 和域名注册商两边的 DS 记录信息必须完全一致。完成后再做一次
dig或在线检测,基本就能确认是否配置成功。
- 原文作者:春江暮客
- 原文链接:https://www.bobobk.com/444.html
- 版权声明:本作品采用 知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议 进行许可,非商业转载请注明出处(作者,原文链接),商业转载请联系作者获得授权。