DNS 安全扩展 (DNSSEC) 概览

域名系统安全扩展 (DNSSEC) 是域名系统 (DNS) 的一项功能,用于验证对域名查找的响应。它不会为这些查找提供隐私保护,但会阻止攻击者操控对 DNS 请求的响应或在该响应中投毒。

为保护网域免受仿冒攻击和投毒攻击,请在以下位置启用和配置 DNSSEC:

  1. DNS 区域。如果为某一区域启用 DNSSEC,则 Cloud DNS 会自动管理 DNSSEC 密钥(DNSKEY 记录)的创建和轮替,以及包含资源记录数字签名 (RRSIG) 记录的区域数据的签名。

  2. 顶级域名 (TLD) 注册数据库(对于 example.com,为 .com)。在 TLD 注册数据库中,您必须有一个 DS 记录来验证区域中的 DNSKEY 记录。为此,您可以在域名注册商处激活 DNSSEC

  3. DNS 解析器。为实现全面 DNSSEC 保护,您必须使用 DNS 解析器来验证由 DNSSEC 所签名网域的签名。如果您管理网络的 DNS 服务,则可以为个别系统或本地缓存解析器启用验证。

    如需详细了解 DNSSEC 验证,请参阅以下资源:

    您还可以将系统配置为使用公开解析器(特别是 Google 公共 DNSVerisign 公共 DNS)来验证 DNSSEC。

第二点内容限制了 DNSSEC 所适用的域名。注册商和注册系统都必须支持您所使用的 TLD 的 DNSSEC。如果您无法通过网域注册商添加 DS 记录来激活 DNSSEC,则在 Cloud DNS 中启用 DNSSEC 不会产生任何作用。

启用 DNSSEC 之前,请检查以下资源:

  • 您的域名注册商和 TLD 注册系统的 DNSSEC 文档
  • Google Cloud 社区教程的域名注册商专用说明
  • ICANN 名单 网域注册商 DNSSEC 支持的确认信息,以确认您的网域是否支持 DNSSEC。

如果 TLD 注册系统支持 DNSSEC,但您的注册商不支持 DNSSEC(或不针对该 TLD 支持 DNSSEC),您或许可以将网域转移到其他可以提供相应支持的注册商。完成该过程后,您可以为该网域激活 DNSSEC。

管理操作

如需了解管理 DNSSEC 的分步说明,请参阅以下资源:

由 DNSSEC 增强的记录集类型

如需详细了解记录集类型和其他记录类型,请参阅以下资源:

  • 如需控制哪些公共证书授权机构 (CA) 可以为您的网域生成 TLS 或其他证书,请参阅 CAA 记录

  • 如需通过 IPsec 隧道启用寻机加密,请参阅 IPSECKEY 记录

在受 DNSSEC 保护的区域中使用 DNS 记录类型

如需详细了解 DNS 记录类型和其他记录类型,请参阅以下资源:

  • 如需启用 SSH 客户端应用以验证 SSH 服务器,请参阅 SSHFP 记录

迁移或转移已启用 DNSSEC 的区域

Cloud DNS 支持迁移已在网域注册表中激活 DNSSEC 且已启用 DNSSEC 的区域,而不会破坏信任链。您可以在也支持迁移的其他 DNS 运营商之间迁移区域。

如果现有网域由您的注册商托管,我们建议先将域名服务器迁移到 Cloud DNS,然后再转移到其他注册商。

后续步骤