Alibaba Cloud DNS：DNSSEC

什麼是DNSSEC

網域名稱系統安全擴充（DNS Security Extensions），簡稱DNSSEC。開啟DNSSEC，可有效防止DNS欺騙和緩衝汙染等攻擊。它是通過數位簽章來保證DNS應答報文的真實性和完整性，能夠保護使用者不被重新導向到非預期地址，從而提高使用者對互連網的信任，並保護您的核心業務。

DNSSEC使用注意事項

1. DNSSEC目前面向付費版DNS使用者（不限版本）開放使用。

2. 使用子網域名稱獨立託管DNS功能，則不支援開啟DNSSEC。

3. 使用輔助DNS功能，則不支援開啟DNSSEC。

4. DNS付費版到期，如計劃不再使用DNS付費版時，需先到網域名稱註冊商刪除DS記錄，然後在Alibaba Cloud DNS控制台關閉DNSSEC，避免造成解析失敗情況。

5. 已開啟DNSSEC服務，且使用 “網域名稱帳號間轉移” 功能時，指將網域名稱從A帳號轉移到B帳號， 需先到網域名稱註冊商刪除DS記錄，然後在Alibaba Cloud DNS控制台關閉DNSSEC，避免造成解析失敗情況。

6. 已開啟DNSSEC服務，且使用 “跨帳號轉移DNS解析”功能時，指將網域名稱DNS解析從A帳號轉移到B帳號，需先到網域名稱註冊商刪除DS記錄，然後在Alibaba Cloud DNS控制台關閉DNSSEC，避免造成解析失敗情況。

7. 已開啟DNSSEC服務，使用“解除綁定網域名稱”功能時，需先到網域名稱註冊商刪除DS記錄，然後在Alibaba Cloud DNS控制台關閉DNSSEC，避免造成解析失敗情況。

8. DNSSEC功能，需要網域名稱解析服務商和網域名稱註冊服務商都支援DNSSEC，方可生效，目前Alibaba Cloud DNS和阿里雲網域名稱註冊商均支援此項服務。

DNSSEC開啟設定方法

1. 登入 Alibaba Cloud DNS控制台。

2. 點擊左側導覽列 網域名稱解析，在 權威網域名稱 頁簽選擇需要開啟DNSSEC的網域名稱，點擊 解析設定 按鈕。

   

3. 菜單選擇 DNS安全， 頁簽選擇 DNSSEC， 單擊 開啟DNSSEC 按鈕

   

4. 複製DS記錄資訊如 Key Tag 、Algorithm、Digest Type、Digest， 然後到網域名稱註冊商處增加一條DS記錄。

   

5. 以阿里雲網域名稱註冊商為例， 請參考 網域名稱系統安全擴充（DNSSEC）配置 文檔。

DNSSEC生效測試方法

請使用 測試載入器 測試。

檢測DNSSEC是否開啟

以dns-example.com為例，例如在圈中地區未展示有 DS 代表未開啟DNSSEC服務。

DNSSEC已生效

測試頁面中如每一級都顯示出了 DS，且無紅色報錯框，說明已開啟DS，並已生效。

DNSSEC未生效

例如當測試頁面如出現紅框報錯，則代表DNSSEC未生效，可通過提交工單排查。

DNSSEC關閉設定方法

步驟一：在網域名稱註冊商處將DS記錄刪除。

以阿里雲註冊網域名稱為例：

1. 登入網域名稱產品控制台。

2. 在 網域名稱列表 頁面單擊目標網域名稱後方 操作 列的 管理 按鈕。

3. 單擊左側導覽列 DNS管理 下的 DNSSEC設定 按鈕，然後單擊DS記錄後方的 刪除 按鈕。

步驟二：在Alibaba Cloud DNS控制台關閉DNSSEC

1. 登入Alibaba Cloud DNS產品控制台。

2. 在 網域名稱解析 頁面單擊目標網域名稱進入 解析設定 頁面。

3. 選擇 DNS安全 頁簽，再選中 DNSSEC 頁簽，最後單擊 關閉DNSSEC 按鈕。

   警告

   請務必按照步驟一、步驟二的順序操作，否則可能導致解析失敗異常。