防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置

菜鸟 2804 3

   DNSSEC是为解决DNS欺骗和缓存Wu染而设计的一种安全机制,DNSSEC的英文名称叫Domain Name System Security Extensions,利用密码技术,使得域名解析服务器可以验证它所收到的应答(包括域名不存在的应答)是否来自于真实的服务器,或者是否在传输过程中被篡改过。它的意思就是说DNSSEC可以防止DNS被劫持,确保用户在DNS解析的过程中请求的域名与对应的IP地址一致性。

   启用DNSSEC需要域名注册商、DNS域名解析商支持DNSSEC技术才行。目前国内的阿里云、腾讯云、百度云,dnspod,dns.com都不支持dnssec,但是国外常见的域名注册商都是支持DNSSEC了。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第1张图片-笔记运维

打开https://stats.labs.apnic.net/   可以看出全世界不同地方的DNSSEC使用情况,从图表中可以看出全世界支持DNSSEC的DNS服务器还是相当少的,总量不超过15%。而中国就更加糟糕,少于1%。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第2张图片-笔记运维

https://ns1.com/ 这个DNS解析商在前面DNS主从设置 就说过了;

NS1也被成为NSONE,是一家知名的DNS提供商,NS1使用智慧型DNS技术,能自动切换路由来引导流量,也有Anycast,负载平衡等技术。NS1的免费方案提供每月50W次的解析数量,50条域名记录和1个Filter Chains以及两条监控任务。NS1注册时候需要预授权信用卡,预授权是2美元。NS1提供的免费套餐足够大多数网站使用!NS1还提供有ALIAS、AFSDB、CAA、CERT、DS、HINFO、NAPTR、PTR、RP等一些不常见的记录。NS1的注册账号就省略啦!

NS1的dnssec功能需要发邮件到[email protected]申请开通的;

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第3张图片-笔记运维

Enable Dnssec,保存后,再点击View Detailed Instructions。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第4张图片-笔记运维

弹出的这些是DSNSEC的信息,然后我们到域名所在的注册商那里填写这些信息,比如博主的yunwei114.com是在namesilo.com:

首先选择Dnssec选项,如下图

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第5张图片-笔记运维然后填写dnssec相关的信息,包括Digest,Key Tag,Digest Type,Algorithm

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第6张图片-笔记运维

那么如果使用的是CloudFlare的话,同样的原理,先找到CloudFlare的DNSSEC选项,然后Enable dnssec;

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第7张图片-笔记运维防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第8张图片-笔记运维

同样的把这些CloudFlare DNSSEC的参数写到注册商那里去;这样就完成了dnssec设置咯

打开https://dnssec-analyzer.verisignlabs.com/,检测DNSSEC是否已启用;

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第9张图片-笔记运维

设置完DNSSEC后,那么再来设置一下CAA吧!

CAA 要启用,也是要 DNS 服务商支持才可以。国内的京东云DNS,阿里云DNS,DNS.COM都支持,但dnspod不支持。其他的没用过不太清楚!另外支持 CAA 记录的国外 DNS 服务这里有比较详细的记录:【https://sslmate.com/caa/support】 

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第10张图片-笔记运维

第一 :添加格式

添加 CAA 记录的说明如下:


主机记录 填写@顶级域名,这样就会自动应用到多级域名。

CAA data 填写 0 issue "证书颁发机构域名"。

如果你用 Let’s Encrypt 颁发的免费证书,CAA data 部分直接填写 如下格式即可。

0 issue "letsencrypt.org"

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第11张图片-笔记运维

还可以添加一条为 0 iodef mailto:[email protected] 的 CAA 记录,表示如果发现违背 CAA 记录的情况给这个邮箱发邮件通知。


CAA:格式为:flag tag value。 其中flag目前取值为0-128;tag取值为issue、issuewild、iodef;value为不包含|、""、\、<>、中文字符的字符串。例如:0 issue www.yunwei114.com。

格式为:flag tag value  。


第二:利用工具

除了Google Cloud DNS, Route 53, DNSimple等常见了DNS解析服务外,如果你用的是BIND、PowerDNS、dnsmasq等,添加域名CAA记录与上面会有所不同,建议使用CAA记录自动在线生成来搞定。


工具直接生成网址:https://sslmate.com/caa/


填写域名后点 Auto-Generate Policy,这个工具会自动查询你的网站使用了什么证书,从而生成对应的 CAA 记录数据。如图:www.yunwei114.com的生成数据。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第12张图片-笔记运维

第三:添加CAA

既然,我们得到了CAA的数据,就可以来添加了,我们看看如何利用NS1.COM添加CAA。登录之后点击 zones 进入域名管理,如图:



填好,我们保存即可。


第四:CAA记录是否生效

我们可以使用SSL证书在线检测网站来查看自己的域名CAA记录是否生效。


网址:https://www.ssllabs.com/ssltest/index.html。









标签: ns1.com DNSSEC

发表评论 (已有3条评论)

评论列表

2020-04-20 06:01:22

namesilo并不支持第三方dns服务器地址,来设置DNSSEC,只能用他家的dns地址。

2020-05-03 13:50:54

@徐州德启科技 namesilo支持的,我自己就有其他网站在使用中

2021-02-01 02:02:59

@菜鸟 namesilo不支持好像,必须要用他自己的,我刚才设置了DNSSEC但是检测一直找不到对应的DNSKEY,快无语了。。