DNSSEC

什么是DNSSEC

域名系统安全扩展（DNS Security Extensions），简称DNSSEC。开启DNSSEC，可有效防止DNS欺骗和缓存污染等攻击。它是通过数字签名来保证DNS应答报文的真实性和完整性，能够保护用户不被重定向到非预期地址，从而提高用户对互联网的信任，并保护您的核心业务。

DNSSEC使用注意事项

1. DNSSEC目前面向付费版DNS用户（不限版本）开放使用。

2. 使用子域名独立托管DNS功能，则不支持开启DNSSEC。

3. 使用辅助DNS功能，则不支持开启DNSSEC。

4. DNS付费版到期，如计划不再使用DNS付费版时，需先到域名注册商删除DS记录，然后在云解析DNS控制台关闭DNSSEC，避免造成解析失败情况。

5. 已开启DNSSEC服务，且使用 “域名账号间转移” 功能时，指将域名从A账号转移到B账号， 需先到域名注册商删除DS记录，然后在云解析DNS控制台关闭DNSSEC，避免造成解析失败情况。

6. 已开启DNSSEC服务，且使用 “跨账号转移DNS解析”功能时，指将域名DNS解析从A账号转移到B账号，需先到域名注册商删除DS记录，然后在云解析DNS控制台关闭DNSSEC，避免造成解析失败情况。

7. 已开启DNSSEC服务，使用“解绑域名”功能时，需先到域名注册商删除DS记录，然后在云解析DNS控制台关闭DNSSEC，避免造成解析失败情况。

8. DNSSEC功能，需要域名解析服务商和域名注册服务商都支持DNSSEC，方可生效，目前云解析DNS和阿里云域名注册商均支持此项服务。

DNSSEC设置方法

1. 登录 云解析DNS控制台。

2. 点击左侧导航栏 域名解析，在 权威域名 页签选择需要开启DNSSEC的域名，点击 解析设置 按钮。

   

3. 菜单选择 DNS安全， 页签选择 DNSSEC， 单击 开启DNSSEC 按钮

   

4. 复制DS记录信息如 Key Tag 、Algorithm、Digest Type、Digest， 然后到域名注册商处增加一条DS记录。

   

5. 以阿里云域名注册商为例， 请参考 域名系统安全扩展（DNSSEC）配置 文档。

DNSSEC生效测试方法

请使用 测试工具 测试。

检测DNSSEC是否开启

以dns-example.com为例，例如在圈中区域未展示有 DS 代表未开启DNSSEC服务。

DNSSEC已生效

测试页面中如每一级都显示出了 DS，且无红色报错框，说明已开启DS，并已生效。

DNSSEC未生效

例如当测试页面如出现红框报错，则代表DNSSEC未生效，可通过提交工单排查。