全部产品
云市场

DNSSEC设置方法

更新时间:2020-02-15 12:30:36

什么是DNSSEC

域名系统安全扩展(DNS Security Extensions),简称DNSSEC。开启DNSSEC,可有效防止DNS欺骗和缓存污染等攻击。它是通过数字签名来保证DNS应答报文的真实性和完整性,能够保护用户不被重定向到非预期地址,从而提高用户对互联网的信任,并保护您的核心业务。

DNSSEC使用注意事项

  1. DNSSEC目前面向付费版DNS用户(不限版本)开放使用。

  2. 使用子域名独立托管DNS功能,则不支持开启DNSSEC。

  3. 使用辅助DNS功能,则不支持开启DNSSEC。

  4. DNS付费版到期,如计划不再使用DNS付费版时,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。

  5. 已开启DNSSEC服务,且使用 “域名账号间转移” 功能时,指将域名从A账号转移到B账号, 需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。

  6. 已开启DNSSEC服务,且使用 “跨账号转移DNS解析”功能时,指将域名DNS解析从A账号转移到B账号,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。

  7. 已开启DNSSEC服务,使用“解绑域名”功能呢时,需先到域名注册商删除DS记录,然后在云解析DNS控制台关闭DNSSEC,避免造成解析失败情况。

  8. DNSSEC功能,需要域名解析服务商和域名注册服务商均需支持DNSSEC,方可生效,目前云解析DNS和阿里云域名注册商均支持此项服务。

DNSSEC设置方法

① 登录 云解析DNS控制台

② 选择需要开启DNSSEC的域名,点击 解析设置 按钮。

解析设置

③ 菜单选择 DNS安全, 页签选择 DNSSEC, 单击 开启DNSSEC 按钮

开启DNSSEC按钮

④ 复制DS记录信息如 Key TagAlgorithmDigest TypeDigest, 然后到域名注册商处增加一条DS记录。

获取DS记录信息

⑤ 以阿里云域名注册商为例, 请参考 域名系统安全扩展(DNSSEC)配置 文档

DNSSEC生效测试方法

请使用 测试工具 测试。

检测DNSSEC是否开启

以dns-example.com为例,例如在圈中区域未展示有 DS 代表未开启DNSSEC服务

未开启DNSSEC

DNSSEC已生效

测试页面中如每一级都显示出了 DS,且无红色报错框,说明已开启DS,并已生效。

DNSSEC已生效

DNSSEC未生效

例如当测试页面如出现红框报错,则代表DNSSEC未生效,可通过 提交工单 排查。

未生效报错