DNS 安全扩展 (DNSSEC) 概览

域名系统安全扩展 (DNSSEC) 是域名系统 (DNS) 的一项功能,用于验证对域名查找的响应。它不会为这些查找提供隐私保护,但会阻止攻击者操控对 DNS 请求的响应或在该响应中投毒。

为保护网域免受欺骗攻击和投毒攻击,您需要在三个位置启用和配置 DNSSEC:

  1. 您的网域的 DNS 地区必须提供与公钥 (DNSKEY)、签名 (RRSIG) 和不存在性(NSEC 或 NSEC3 和 NSEC3PARAM)对应的特殊 DNSSEC 记录,以用于验证该地区的内容。如果为地区启用 DNSSEC,则 Cloud DNS 会自动执行这项管理任务。

  2. 顶级域名 (TLD) 注册系统(example.com.com)必须包含 DS 记录,以便验证区域中的 DNSKEY 记录。为此,您可以在您的网域注册商处激活 DNSSEC

  3. 为实现全面 DNSSEC 保护,您必须使用 DNS 解析器来验证由 DNSSEC 所签名网域的签名。如果您管理网络的 DNS 服务,则可以为单个系统或本地缓存解析器启用验证。

    如需详细了解 DNSSEC 验证,请参阅以下资源:

    您还可以将系统配置为使用公开解析器(特别是 Google 公共 DNSVerisign 公共 DNS)来验证 DNSSEC。

第二点内容限制了 DNSSEC 所适用的域名。注册商和注册系统都必须支持您所使用的 TLD 的 DNSSEC。如果您无法通过网域注册商添加 DS 记录来激活 DNSSEC,则在 Cloud DNS 中启用 DNSSEC 不会产生任何作用。

启用 DNSSEC 之前,请检查以下资源:

  • 您的域名注册商和 TLD 注册系统的 DNSSEC 文档
  • Google Cloud 社区教程的域名注册商专用说明
  • 域名注册商 DNSSEC 的 ICANN 列表,确认您的网域是否支持 DNSSEC。

如果 TLD 注册系统支持 DNSSEC,但您的注册商不支持 DNSSEC(或不针对该 TLD 支持 DNSSEC),您或许可以将网域转移到其他可以提供相应支持的注册商。完成该过程后,您可以为该网域激活 DNSSEC。

管理操作

如需了解管理 DNSSEC 的分步说明,请参阅以下资源:

由 DNSSEC 增强的记录集类型

如需详细了解记录集类型和其他记录类型,请参阅以下资源:

  • 如需控制哪些公共证书授权机构 (CA) 可以为您的网域生成 TLS 或其他证书,请参阅 CAA 记录

  • 如需通过 IPsec 隧道启用寻机加密,请参阅 IPSECKEY 记录

在受 DNSSEC 保护的区域中使用全新的 DNS 记录类型

如需详细了解 DNS 记录类型和其他记录类型,请参阅以下资源:

  • 如需启用 SSH 客户端应用以验证 SSH 服务器,请参阅 SSHFP 记录

后续步骤

  • 如需查看 DNSSEC 密钥记录,请参阅查看 DNSSEC 密钥
  • 如需创建、更新、列出和删除代管区域,请参阅管理区域
  • 如需了解您在使用 Cloud DNS 时可能会遇到的常见问题的解决方案,请参阅问题排查
  • 如需大致了解 Cloud DNS,请参阅 Cloud DNS 概览