什么是DNSSEC
域名系统安全扩展(DNS Security Extensions),简称DNSSEC。开启DNSSEC,可有效防止DNS欺骗和缓存污染等攻击。它是通过数字签名来保证DNS应答报文的真实性和完整性,能够保护用户不被重定向到非预期地址,从而提高用户对互联网的信任,并保护您的核心业务。
DNSSEC使用注意事项
DNSSEC目前面向付费版DNS用户(不限版本)开放使用。
使用子域名独立托管DNS功能,则不支持开启DNSSEC。
使用辅助DNS功能,则不支持开启DNSSEC。
DNS付费版到期,如计划不再使用DNS付费版时,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。
已开启DNSSEC服务,且使用 “域名账号间转移” 功能时,指将域名从A账号转移到B账号, 需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。
已开启DNSSEC服务,且使用 “跨账号转移DNS解析”功能时,指将域名DNS解析从A账号转移到B账号,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。
已开启DNSSEC服务,使用“解绑域名”功能时,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。
DNSSEC功能,需要域名解析服务商和域名注册服务商都支持DNSSEC,方可生效,目前云解析DNS和阿里云域名注册商均支持此项服务。
DNSSEC开启设置方法
登录 云解析DNS控制台。
点击左侧导航栏 域名解析,在 权威域名 页签选择需要开启DNSSEC的域名,点击 解析设置 按钮。
菜单选择 DNS安全, 页签选择 DNSSEC, 单击 开启DNSSEC 按钮
复制DS记录信息如 Key Tag 、Algorithm、Digest Type、Digest, 然后到域名注册商处增加一条DS记录。
以阿里云域名注册商为例, 请参考 域名系统安全扩展(DNSSEC)配置 文档。
DNSSEC生效测试方法
请使用 测试工具 测试。
检测DNSSEC是否开启
以dns-example.com为例,例如在圈中区域未展示有 DS 代表未开启DNSSEC服务。
DNSSEC已生效
测试页面中如每一级都显示出了 DS,且无红色报错框,说明已开启DS,并已生效。
DNSSEC未生效
例如当测试页面如出现红框报错,则代表DNSSEC未生效,可通过提交工单排查。
DNSSEC关闭设置方法
步骤一:在域名注册商处将DS记录删除。
以阿里云注册域名为例:
登录域名产品控制台。
在 域名列表 页面单击目标域名后方 操作 列的 管理 按钮。
单击左侧导航栏 DNS管理 下的 DNSSEC设置 按钮,然后单击DS记录后方的 删除 按钮。
步骤二:在云解析DNS控制台关闭DNSSEC
登录云解析DNS产品控制台。
在 域名解析 页面单击目标域名进入 解析设置 页面。
选择 DNS安全 页签,再选中 DNSSEC 页签,最后单击 关闭DNSSEC 按钮。
警告请务必按照步骤一、步骤二的顺序操作,否则可能导致解析失败异常。