什么是 DNSSEC
要使用 DNSSEC 我们得先了解一下它,它是什么,能干什么。
Domain Name System Security Extensions (DNSSEC)DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性和证实域名不存在。 —— 百度百科
简而言之,DNSSEC 是在您的 DNS 之上添加的一层验证,给域名解析来个双重验证。如果您想了解更多,可以访问 ICANN 关于 DNSSEC 的介绍。
CloudFlare CDN 启用 DNSSEC
我们在 CloudFlare 的后台,进入 DNS 控制面板。
接着一直往下扒拉,找到 DNSSEC 选项卡,点击右边的蓝色的 启用 DNSSEC 按钮 。
启用后,会弹出 CloudFlare 为您的域名生成的专属 DS 记录,里面包含了各种与域名注册商服务器沟通的公钥和私钥,以及沟通的加密算法。红框中框选出的为腾讯云/ DNSPod 所需要的记录值。
这里的算法 13 也称为带有 SHA-256 的 ECDSA 曲线 P-256,英文为 ECDSA Curve P-256 with SHA-256 。待会儿腾讯云需要。其它域名注册商也会需要用到的,有些写的中文,有些写的英文,另一些直接写的 算法 13 。
域名注册商添加 DS 记录
Young Free 用的腾讯云,这里进入腾讯云的用户中心,域名管理界面,找到自己的域名并点击管理,选择 域名安全 选项卡,再点击 DNSSEC 设置 管理。
这里,腾讯云会要我们确认一下安全与使用注意事项,有时可能需要您使用微信扫描二维码进行安全验证。
确认要进行添加 DNSSEC DS 记录后,我们点击蓝色的 添加 DNSSEC 按钮。
在弹出对话框,我们按照我给出的对应关系,填写上一步中获取到的 密钥标记、算法、摘要类型和摘要内容。( CF 为 CloudFlare 简称)
填写完点击确定,如果填写正确,会看到如下界面,如果出错,请检查对应关系 和 各项 值 是否复制粘贴完整。
如果您和我一样成功在域名注册商处添加 DS 记录,请再次回到 CloudFlare 面板,点击保存按钮,届时,您将会看到 CloudFlare 的提示:✅成功 您的域名 将受到 DNSSEC 的保护。
验证 DNSSCE 是否生效
其实走完前两步都没提示出错,那么我们域名的 DNSSEC 有 99% 的概率是生效了的。如果还是不放心,我们还可以使用第三方工具进行检测。
在对话框中填写您要检查的域名,点击 Go 按钮,你可能会看到如下两种界面——直接出结果(请下拉到文末) / 需要手动下一步。如果没有直接看到结果,别慌,如下界面,请点击 Analyze 按钮。
系统会在我们点击后开始扫描我们的域名解析记录,待扫描完后,如下图,点击 Continue 按钮。
这时,我们就看到了如下界面,全是 墨绿色 的箭头 和 框框,这就表示我们成功的启用 DNSSEC 记录。反之,会出现很多黄色和红色的框框,那么我们就需要重新来检查最开始的配置项是否有误了。