关于Dynadot
Dynadot是通过ICANN认证的域名注册商,自2002年成立以来,服务于全球108个国家和地区的客户,为数以万计的客户提供简洁,优惠,安全的域名注册以及管理服务。
关于DNSSEC
DNSSEC即域名系统安全拓展,旨在保护应用程序(以及服务这些应用程序的缓存解析器)免受伪造或不当操纵的DNS数据所造成的影响(例如域名服务器缓存污染的数据)。
DNSSEC 采用基于公共密钥加密的数字签名,从而提高DNS的验证机制,增强 DNS 验证强度。
DNSSEC 在 DNS 协议中新增了两项重要功能:
1.数据来源验证 - 解析器可以通过加密的方式验证收到的数据是否确实来自其认定的数据传送区域。
2.数据完整性保护 - 解析器可以确信,自区域所有者使用区域私钥初次进行数据签名以来,数据在传输过程中并未遭到修改。
通过DNSSEC的保护,可以避免访问者被伪造或是仿冒的服务器响应欺骗,造成个人信息的泄露甚至是经济损失。
注意:DNSSEC 不能防御 DDoS 攻击。
设置DNSSEC的先决条件
在Dynadot后台,我们可以对某一域名进行DNSSEC设置。但在这之前,需要首先确认:
- 在进行DNSSEC设置之前,后台中已经设置过域名服务器。
如果没有进行域名服务器设置,请参考之前的文章进行相关设置。
2.该域名没有进行域名转发,域名停放、自定义DNS、电子邮件等设置。
确认方法如下:
进入Dynadot的后台界面中,找到需要管理的域名,进入域名的单独管理界面中去。在界面下方,查看DNS设置与电子邮件设置选项。
如果这两项均已被设置,则需要点击右侧标识进行清空或者删除。
注意,此时需要先对电子邮件设置进行清除。
点开电子邮件设置之后,弹出窗口更改设置为Not Set。然后进行保存。
完成之后,再次点击DNS设置,将域名与服务器进行连接。
设置DNSSEC记录
在进行服务器设置之后,可以用以下两种方法进行DNSSEC记录设置。
在进入Dynadot后台后,点击左侧菜单的DNSSEC选项,可以看到目前添加过的DNSSEC。
点击右上方可以添加新的DNSSEC记录。
以添加新的DNSSEC记录为例,点击右上方的按钮后,进入到弹出窗口中修改。
其中,需要输入的值为:
密钥标签:用于标识域名的DNSSEC记录,此处只需要填写一个小于65536的整数值。
Digest认证类型:指构建摘要的算法类型,可在下拉菜单中选择。
Digest:此处是一串整数型参数,是从域名解析商处获得的内容。
算法:是指生成签名的加密算法,可在下拉菜单中选择不同类型的算法。
以上是窗口中必须填入的字段,在余下的可选字段中。
顶级域名的标记处是指DNSSEC使用的秘钥类型,可以选择ZSK(区域签名密钥),或者是KSK(密钥签名密钥)。
顶级域名的公钥包含在网站公开共享的 SSL/TLS 证书包中,在区域内公开发布,供全体用户检索。
设置完成后,点击保存即可。
为域名添加DNSSEC配置
进入Dynadot后台,进入到域名对应的管理界面,下拉找到DNSSEC设置部分。
点击change后,在弹出窗口中进行DNSSEC配置。
在此处,我们可以直接添加DNSSEC,也可以在经过上文的设置之后,选择使用现有的DNSSEC记录。
选择后,点击保存DNSSEC记录,即可完成域名的DNSSEC配置。