DNS 安全性 (DNSSEC)

DNSSEC 是域名系统的一项功能,用于验证对域名查找的响应。它不会为这些查找提供隐私保护,但会阻止攻击者操控对 DNS 请求的响应或在该响应中投毒。

为保护网域免受欺骗攻击和投毒攻击,您需要在三个位置启用和配置 DNSSEC:

  1. 您的网域的 DNS 地区必须提供与公钥 (DNSKEY)、签名 (RRSIG) 和不存在性(NSEC 或 NSEC3 和 NSEC3PARAM)对应的特殊 DNSSEC 记录,以用于验证该地区的内容。如果为地区启用 DNSSEC,则 Cloud DNS 会自动执行这项管理任务。

  2. 顶级域名注册系统(example.com 为 .COM)必须包含 DS 记录,以便验证地区中的 DNSKEY 记录。为此,您可以在您的网域注册商处激活 DNSSEC

  3. 为实现全面 DNSSEC 保护,客户端必须使用 DNS 解析器来验证带有 DNSSEC 签名的网域的签名。您可以针对各个系统或本地 DNS 解析器启用验证(请参阅本 PDF 指南中的附录)。您还可以将系统配置为使用公开解析器(特别是 Google 公共 DNSVerisign 公共 DNS)来验证 DNSSEC。

第二点内容限制了 DNSSEC 所适用的域名。注册商和注册系统都必须为所用的顶级域名提供 DNSSEC 支持。如果您无法通过网域注册商添加 DS 记录来激活 DNSSEC,则在 Cloud DNS 中启用 DNSSEC 不会产生任何作用。

在启用 DNSSEC 之前,请查阅与您的网域注册商和顶级域名注册系统对应的 DNSSEC 文档、Google Cloud 社区教程的网域注册商专属说明以及网域注册商 DNSSEC 支持的 ICANN 列表,以确认您的网域具备 DNSSEC 支持。如果顶级域名注册系统支持 DNSSEC,但您的注册商不支持(或不对该顶级域名提供支持),您或许能够将网域转移到其他可以提供相应支持的注册商。完成该过程后,您可以为该网域激活 DNSSEC。

管理操作

如需了解各项任务,请转到“管理 DNSSEC”(见“另请参阅”部分)或点击以下链接:

DNSSEC、网域转移和地区迁移

将带有 DNSSEC 签名的地区迁移到 Google Cloud DNS

退出 DNSSEC 转移状态

从 Google Cloud DNS 迁移带有 DNSSEC 签名的地区

委派带有 DNSSEC 签名的子网域

由 DNSSEC 增强的记录集类型

如需了解以下记录类型和其他记录类型,请参阅高级 DNSSEC 或点击以下链接:

CAA 记录

IPSECKEY 记录

在受 DNSSEC 保护的地区中使用全新的 DNS 记录类型

如需了解以下记录类型和其他记录类型,请参阅高级 DNSSEC 或点击以下链接:

SSHFP 记录

后续步骤