文档

DNSSEC

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

什么是DNSSEC

域名系统安全扩展(DNS Security Extensions),简称DNSSEC。开启DNSSEC,可有效防止DNS欺骗和缓存污染等攻击。它是通过数字签名来保证DNS应答报文的真实性和完整性,能够保护用户不被重定向到非预期地址,从而提高用户对互联网的信任,并保护您的核心业务。

DNSSEC使用注意事项

  1. DNSSEC目前面向付费版DNS用户(不限版本)开放使用。

  2. 使用子域名独立托管DNS功能,则不支持开启DNSSEC。

  3. 使用辅助DNS功能,则不支持开启DNSSEC。

  4. DNS付费版到期,如计划不再使用DNS付费版时,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。

  5. 已开启DNSSEC服务,且使用 “域名账号间转移” 功能时,指将域名从A账号转移到B账号, 需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。

  6. 已开启DNSSEC服务,且使用 “跨账号转移DNS解析”功能时,指将域名DNS解析从A账号转移到B账号,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。

  7. 已开启DNSSEC服务,使用“解绑域名”功能时,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。

  8. DNSSEC功能,需要域名解析服务商和域名注册服务商都支持DNSSEC,方可生效,目前云解析DNS和阿里云域名注册商均支持此项服务。

DNSSEC开启设置方法

  1. 登录 云解析DNS控制台

  2. 点击左侧导航栏 域名解析,在 权威域名 页签选择需要开启DNSSEC的域名,点击 解析设置 按钮。

    image.png

  3. 菜单选择 DNS安全, 页签选择 DNSSEC, 单击 开启DNSSEC 按钮

    image.png

  4. 复制DS记录信息如 Key TagAlgorithmDigest TypeDigest, 然后到域名注册商处增加一条DS记录。

    image.png

  5. 以阿里云域名注册商为例, 请参考 域名系统安全扩展(DNSSEC)配置 文档。

DNSSEC生效测试方法

请使用 测试工具 测试。

检测DNSSEC是否开启

以dns-example.com为例,例如在圈中区域未展示有 DS 代表未开启DNSSEC服务。

未开启DNSSEC

DNSSEC已生效

测试页面中如每一级都显示出了 DS,且无红色报错框,说明已开启DS,并已生效。

DNSSEC已生效

DNSSEC未生效

例如当测试页面如出现红框报错,则代表DNSSEC未生效,可通过提交工单排查。

未生效报错

DNSSEC关闭设置方法

步骤一:在域名注册商处将DS记录删除。

以阿里云注册域名为例:

  1. 登录域名产品控制台

  2. 域名列表 页面单击目标域名后方 操作 列的 管理 按钮。

  3. 单击左侧导航栏 DNS管理 下的 DNSSEC设置 按钮,然后单击DS记录后方的 删除 按钮。

步骤二:在云解析DNS控制台关闭DNSSEC

  1. 登录云解析DNS产品控制台

  2. 域名解析 页面单击目标域名进入 解析设置 页面。

  3. 选择 DNS安全 页签,再选中 DNSSEC 页签,最后单击 关闭DNSSEC 按钮。

    警告

    请务必按照步骤一、步骤二的顺序操作,否则可能导致解析失败异常。