什么是DNSSEC
域名系统安全扩展(DNS Security Extensions),简称DNSSEC。开启DNSSEC,可有效防止DNS欺骗和缓存污染等攻击。它是通过数字签名来保证DNS应答报文的真实性和完整性,能够保护用户不被重定向到非预期地址,从而提高用户对互联网的信任,并保护您的核心业务。
DNSSEC使用注意事项
DNSSEC目前面向付费版DNS用户(不限版本)开放使用。
使用子域名独立托管DNS功能,则不支持开启DNSSEC。
使用辅助DNS功能,则不支持开启DNSSEC。
DNS付费版到期,如计划不再使用DNS付费版时,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。
已开启DNSSEC服务,且使用 “域名账号间转移” 功能时,指将域名从A账号转移到B账号, 需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。
已开启DNSSEC服务,且使用 “跨账号转移DNS解析”功能时,指将域名DNS解析从A账号转移到B账号,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。
已开启DNSSEC服务,使用“解绑域名”功能时,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。
DNSSEC功能,需要域名解析服务商和域名注册服务商都支持DNSSEC,方可生效,目前云解析DNS和阿里云域名注册商均支持此项服务。
DNSSEC开启设置方法
登录 云解析DNS控制台。
点击左侧导航栏 权威域名解析,在 权威域名 页签选择需要开启DNSSEC的域名,点击 解析设置。
选择 DNS安全, 页签选择 DNSSEC, 单击 开启DNSSEC。
复制DS记录信息如 Key Tag 、Algorithm、Digest Type、Digest, 然后到域名注册商处增加一条DS记录。
以阿里云域名注册商为例, 请参考 域名系统安全扩展(DNSSEC)配置 文档。
DNSSEC生效测试方法
请使用 测试工具 测试。
检测DNSSEC是否开启
以dns-example.com为例,例如在圈中区域未展示有 DS 代表未开启DNSSEC服务。
DNSSEC已生效
测试页面中如每一级都显示出了 DS,且无红色报错框,说明已开启DS,并已生效。
DNSSEC未生效
例如当测试页面如出现红框报错,则代表DNSSEC未生效,可通过提交工单排查。
DNSSEC关闭设置方法
步骤一:在域名注册商处将DS记录删除。
以阿里云注册域名为例:
登录域名产品控制台。
在 域名列表 页面单击目标域名后方 操作 列的 管理 。
单击左侧导航栏 DNS管理 下的 DNSSEC设置 ,然后单击DS记录后方的 删除 。
步骤二:在云解析DNS控制台关闭DNSSEC
登录云解析DNS产品控制台。
在 权威域名解析 页面单击目标域名进入 解析设置 页面。
选择 DNS安全 页签,再选中 DNSSEC 页签,最后单击 关闭DNSSEC 。
警告请务必按照步骤一、步骤二的顺序操作,否则可能导致解析失败异常。