域名系统安全扩展 (DNSSEC) 是域名系统 (DNS) 的一项功能,用于验证对域名查找的响应。它不会为这些查找提供隐私保护,但会阻止攻击者操控对 DNS 请求的响应或在该响应中投毒。
为保护网域免受欺骗攻击和投毒攻击,您需要在三个位置启用和配置 DNSSEC:
您的网域的 DNS 地区必须提供与公钥 (DNSKEY)、签名 (RRSIG) 和不存在性(NSEC 或 NSEC3 和 NSEC3PARAM)对应的特殊 DNSSEC 记录,以用于验证该地区的内容。如果为地区启用 DNSSEC,则 Cloud DNS 会自动执行这项管理任务。
顶级域名 (TLD) 注册系统(
example.com
为.com
)必须包含 DS 记录,以便验证区域中的 DNSKEY 记录。为此,您可以在您的网域注册商处激活 DNSSEC。为实现全面 DNSSEC 保护,您必须使用 DNS 解析器来验证由 DNSSEC 所签名网域的签名。如果您管理网络的 DNS 服务,则可以为单个系统或本地缓存解析器启用验证。
如需详细了解 DNSSEC 验证,请参阅以下资源:
您还可以将系统配置为使用公开解析器(特别是 Google 公共 DNS 和 Verisign 公共 DNS)来验证 DNSSEC。
第二点内容限制了 DNSSEC 所适用的域名。注册商和注册系统都必须支持您所使用的 TLD 的 DNSSEC。如果您无法通过网域注册商添加 DS 记录来激活 DNSSEC,则在 Cloud DNS 中启用 DNSSEC 不会产生任何作用。
启用 DNSSEC 之前,请检查以下资源:
- 您的域名注册商和 TLD 注册系统的 DNSSEC 文档
- Google Cloud 社区教程的域名注册商专用说明
- 域名注册商 DNSSEC 的 ICANN 列表,确认您的网域是否支持 DNSSEC。
如果 TLD 注册系统支持 DNSSEC,但您的注册商不支持 DNSSEC(或不针对该 TLD 支持 DNSSEC),您或许可以将网域转移到其他可以提供相应支持的注册商。完成该过程后,您可以为该网域激活 DNSSEC。
管理操作
如需了解管理 DNSSEC 的分步说明,请参阅以下资源:
为确保网域正常运行,请参阅 DNSSEC、网域转移和区域迁移。
如需将由 DNSSEC 签名的区域迁移到 Cloud DNS,请参阅将由 DNSSEC 签名的区域迁移到 Cloud DNS。
如需将区域的 DNSSEC 状态从
Transfer
更改为On
,请参阅退出 DNSSEC 转移状态。如需将由 DNSSEC 签名的区域迁移到其他 DNS 运营商,请参阅从 Cloud DNS 迁移由 DNSSEC 签名的区域。
如需为委派的子网域启用 DNSSEC,请参阅委派由 DNSSEC 签名的子网域。
由 DNSSEC 增强的记录集类型
如需详细了解记录集类型和其他记录类型,请参阅以下资源:
如需控制哪些公共证书授权机构 (CA) 可以为您的网域生成 TLS 或其他证书,请参阅 CAA 记录。
如需通过 IPsec 隧道启用寻机加密,请参阅 IPSECKEY 记录。
在受 DNSSEC 保护的可用区中使用全新的 DNS 记录类型
如需详细了解 DNS 记录类型和其他记录类型,请参阅以下资源:
- 如需启用 SSH 客户端应用以验证 SSH 服务器,请参阅 SSHFP 记录。
后续步骤
- 如需查看 DNSSEC 密钥记录,请参阅查看 DNSSEC 密钥。
- 如需创建、更新、列出和删除代管式可用区,请参阅管理可用区。
- 如需了解您在使用 Cloud DNS 时可能会遇到的常见问题的解决方案,请参阅问题排查。
- 如需大致了解 Cloud DNS,请参阅 Cloud DNS 概览。