域名系统安全扩展 (DNSSEC) 是域名系统 (DNS) 的一项功能,用于验证对域名查找的响应。它不会为这些查找提供隐私保护,但会阻止攻击者操控对 DNS 请求的响应或在该响应中投毒。
为保护网域免受欺骗攻击和投毒攻击,您需要在三个位置启用和配置 DNSSEC:
您的网域的 DNS 地区必须提供与公钥 (DNSKEY)、签名 (RRSIG) 和不存在性(NSEC 或 NSEC3 和 NSEC3PARAM)对应的特殊 DNSSEC 记录,以用于验证该地区的内容。如果为地区启用 DNSSEC,则 Cloud DNS 会自动执行这项管理任务。
顶级域名 (TLD) 注册系统(
example.com为.com)必须包含 DS 记录,以便验证区域中的 DNSKEY 记录。为此,您可以在您的网域注册商处激活 DNSSEC。为实现全面 DNSSEC 保护,您必须使用 DNS 解析器来验证由 DNSSEC 所签名网域的签名。如果您管理网络的 DNS 服务,则可以为单个系统或本地缓存解析器启用验证。
如需详细了解 DNSSEC 验证,请参阅以下资源:
您还可以将系统配置为使用公开解析器(特别是 Google 公共 DNS 和 Verisign 公共 DNS)来验证 DNSSEC。
第二点内容限制了 DNSSEC 所适用的域名。注册商和注册系统都必须支持您所使用的 TLD 的 DNSSEC。如果您无法通过网域注册商添加 DS 记录来激活 DNSSEC,则在 Cloud DNS 中启用 DNSSEC 不会产生任何作用。
启用 DNSSEC 之前,请检查以下资源:
- 您的域名注册商和 TLD 注册系统的 DNSSEC 文档
- Google Cloud 社区教程的域名注册商专用说明
- 域名注册商 DNSSEC 的 ICANN 列表,确认您的网域是否支持 DNSSEC。
如果 TLD 注册系统支持 DNSSEC,但您的注册商不支持 DNSSEC(或不针对该 TLD 支持 DNSSEC),您或许可以将网域转移到其他可以提供相应支持的注册商。完成该过程后,您可以为该网域激活 DNSSEC。
管理操作
如需了解管理 DNSSEC 的分步说明,请参阅以下资源:
为确保网域正常运行,请参阅 DNSSEC、网域转移和区域迁移。
如需将由 DNSSEC 签名的区域迁移到 Cloud DNS,请参阅将由 DNSSEC 签名的区域迁移到 Cloud DNS。
如需将区域的 DNSSEC 状态从
Transfer更改为On,请参阅退出 DNSSEC 转移状态。如需将由 DNSSEC 签名的区域迁移到其他 DNS 运营商,请参阅从 Cloud DNS 迁移由 DNSSEC 签名的区域。
如需为委派的子网域启用 DNSSEC,请参阅委派由 DNSSEC 签名的子网域。
由 DNSSEC 增强的记录集类型
如需详细了解记录集类型和其他记录类型,请参阅以下资源:
如需控制哪些公共证书授权机构 (CA) 可以为您的网域生成 TLS 或其他证书,请参阅 CAA 记录。
如需通过 IPsec 隧道启用寻机加密,请参阅 IPSECKEY 记录。
在受 DNSSEC 保护的可用区中使用全新的 DNS 记录类型
如需详细了解 DNS 记录类型和其他记录类型,请参阅以下资源:
- 如需启用 SSH 客户端应用以验证 SSH 服务器,请参阅 SSHFP 记录。
后续步骤
- 如需查看 DNSSEC 密钥记录,请参阅查看 DNSSEC 密钥。
- 如需创建、更新、列出和删除代管式可用区,请参阅管理可用区。
- 如需了解您在使用 Cloud DNS 时可能会遇到的常见问题的解决方案,请参阅问题排查。
- 如需大致了解 Cloud DNS,请参阅 Cloud DNS 概览。