DNSSEC是为解决DNS欺骗和缓存Wu染而设计的一种安全机制,DNSSEC的英文名称叫Domain Name System Security Extensions,利用密码技术,使得域名解析服务器可以验证它所收到的应答(包括域名不存在的应答)是否来自于真实的服务器,或者是否在传输过程中被篡改过。它的意思就是说DNSSEC可以防止DNS被劫持,确保用户在DNS解析的过程中请求的域名与对应的IP地址一致性。
启用DNSSEC需要域名注册商、DNS域名解析商支持DNSSEC技术才行。目前国内的阿里云、腾讯云、百度云,dnspod,dns.com都不支持dnssec,但是国外常见的域名注册商都是支持DNSSEC了。
打开https://stats.labs.apnic.net/ 可以看出全世界不同地方的DNSSEC使用情况,从图表中可以看出全世界支持DNSSEC的DNS服务器还是相当少的,总量不超过15%。而中国就更加糟糕,少于1%。
https://ns1.com/ 这个DNS解析商在前面DNS主从设置 就说过了;
NS1也被成为NSONE,是一家知名的DNS提供商,NS1使用智慧型DNS技术,能自动切换路由来引导流量,也有Anycast,负载平衡等技术。NS1的免费方案提供每月50W次的解析数量,50条域名记录和1个Filter Chains以及两条监控任务。NS1注册时候需要预授权信用卡,预授权是2美元。NS1提供的免费套餐足够大多数网站使用!NS1还提供有ALIAS、AFSDB、CAA、CERT、DS、HINFO、NAPTR、PTR、RP等一些不常见的记录。NS1的注册账号就省略啦!
NS1的dnssec功能需要发邮件到[email protected]申请开通的;
Enable Dnssec,保存后,再点击View Detailed Instructions。
弹出的这些是DSNSEC的信息,然后我们到域名所在的注册商那里填写这些信息,比如博主的yunwei114.com是在namesilo.com:
首先选择Dnssec选项,如下图
然后填写dnssec相关的信息,包括Digest,Key Tag,Digest Type,Algorithm
那么如果使用的是CloudFlare的话,同样的原理,先找到CloudFlare的DNSSEC选项,然后Enable dnssec;
同样的把这些CloudFlare DNSSEC的参数写到注册商那里去;这样就完成了dnssec设置咯
打开https://dnssec-analyzer.verisignlabs.com/,检测DNSSEC是否已启用;
设置完DNSSEC后,那么再来设置一下CAA吧!
CAA 要启用,也是要 DNS 服务商支持才可以。国内的京东云DNS,阿里云DNS,DNS.COM都支持,但dnspod不支持。其他的没用过不太清楚!另外支持 CAA 记录的国外 DNS 服务这里有比较详细的记录:【https://sslmate.com/caa/support】
第一 :添加格式
添加 CAA 记录的说明如下:
主机记录 填写@顶级域名,这样就会自动应用到多级域名。
CAA data 填写 0 issue "证书颁发机构域名"。
如果你用 Let’s Encrypt 颁发的免费证书,CAA data 部分直接填写 如下格式即可。
0 issue "letsencrypt.org"
还可以添加一条为 0 iodef mailto:[email protected] 的 CAA 记录,表示如果发现违背 CAA 记录的情况给这个邮箱发邮件通知。
CAA:格式为:flag tag value。 其中flag目前取值为0-128;tag取值为issue、issuewild、iodef;value为不包含|、""、\、<>、中文字符的字符串。例如:0 issue www.yunwei114.com。
格式为:flag tag value 。
第二:利用工具
除了Google Cloud DNS, Route 53, DNSimple等常见了DNS解析服务外,如果你用的是BIND、PowerDNS、dnsmasq等,添加域名CAA记录与上面会有所不同,建议使用CAA记录自动在线生成来搞定。
工具直接生成网址:https://sslmate.com/caa/
填写域名后点 Auto-Generate Policy,这个工具会自动查询你的网站使用了什么证书,从而生成对应的 CAA 记录数据。如图:www.yunwei114.com的生成数据。
第三:添加CAA
既然,我们得到了CAA的数据,就可以来添加了,我们看看如何利用NS1.COM添加CAA。登录之后点击 zones 进入域名管理,如图:
填好,我们保存即可。
第四:CAA记录是否生效
我们可以使用SSL证书在线检测网站来查看自己的域名CAA记录是否生效。
网址:https://www.ssllabs.com/ssltest/index.html。
评论列表
namesilo并不支持第三方dns服务器地址,来设置DNSSEC,只能用他家的dns地址。
@徐州德启科技 namesilo支持的,我自己就有其他网站在使用中
@菜鸟 namesilo不支持好像,必须要用他自己的,我刚才设置了DNSSEC但是检测一直找不到对应的DNSKEY,快无语了。。
@小鱼钓猫 可以,我刚刚设置成功了
@徐州德启科技 1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
-1 OR 2+537-537-1=0+0+0+1 --
-1 OR 3+537-537-1=0+0+0+1 --
-1 OR 2+407-407-1=0+0+0+1
-1 OR 3+407-407-1=0+0+0+1
-1' OR 2+467-467-1=0+0+0+1 --
-1' OR 3*2˂(0+5+467-467) --
-1' OR 2+702-702-1=0+0+0+1 or 'rS8fHchj'='
-1' OR 3+702-702-1=0+0+0+1 or 'rS8fHchj'='
-1" OR 2+893-893-1=0+0+0+1 --
-1" OR 3+893-893-1=0+0+0+1 --
if(now()=sysdate(),sleep(15),0)
0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z
0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z
(select(0)from(select(sleep(15)))v)/*'+(select(0)from(select(sleep(15)))v)+'"+(select(0)from(select(sleep(15)))v)+"*/
-1; waitfor delay '0:0:15' --
-1); waitfor delay '0:0:15' --
1 waitfor delay '0:0:15' --
4JmK4OJI'; waitfor delay '0:0:15' --
-5 OR 176=(SELECT 176 FROM PG_SLEEP(15))--
-5) OR 933=(SELECT 933 FROM PG_SLEEP(15))--
-1)) OR 322=(SELECT 322 FROM PG_SLEEP(15))--
@gBqsPxAZ 1
@gBqsPxAZ 1