防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置

菜鸟 2019年02月08日 15:32 2804 3

DNSSEC是为解决DNS欺骗和缓存Wu染而设计的一种安全机制，DNSSEC的英文名称叫Domain Name System Security Extensions，利用密码技术，使得域名解析服务器可以验证它所收到的应答(包括域名不存在的应答)是否来自于真实的服务器，或者是否在传输过程中被篡改过。它的意思就是说DNSSEC可以防止DNS被劫持，确保用户在DNS解析的过程中请求的域名与对应的IP地址一致性。

启用DNSSEC需要域名注册商、DNS域名解析商支持DNSSEC技术才行。目前国内的阿里云、腾讯云、百度云,dnspod,dns.com都不支持dnssec，但是国外常见的域名注册商都是支持DNSSEC了。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第1张图片-笔记运维

打开https://stats.labs.apnic.net/ 可以看出全世界不同地方的DNSSEC使用情况，从图表中可以看出全世界支持DNSSEC的DNS服务器还是相当少的，总量不超过15%。而中国就更加糟糕，少于1%。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第2张图片-笔记运维

https://ns1.com/ 这个DNS解析商在前面DNS主从设置就说过了；

NS1也被成为NSONE，是一家知名的DNS提供商，NS1使用智慧型DNS技术，能自动切换路由来引导流量，也有Anycast，负载平衡等技术。NS1的免费方案提供每月50W次的解析数量，50条域名记录和1个Filter Chains以及两条监控任务。NS1注册时候需要预授权信用卡，预授权是2美元。NS1提供的免费套餐足够大多数网站使用！NS1还提供有ALIAS、AFSDB、CAA、CERT、DS、HINFO、NAPTR、PTR、RP等一些不常见的记录。NS1的注册账号就省略啦！

NS1的dnssec功能需要发邮件到[email protected]申请开通的；

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第3张图片-笔记运维

Enable Dnssec,保存后，再点击View Detailed Instructions。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第4张图片-笔记运维

弹出的这些是DSNSEC的信息，然后我们到域名所在的注册商那里填写这些信息，比如博主的yunwei114.com是在namesilo.com：

首先选择Dnssec选项，如下图

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第5张图片-笔记运维然后填写dnssec相关的信息，包括Digest，Key Tag，Digest Type，Algorithm

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第6张图片-笔记运维

那么如果使用的是CloudFlare的话，同样的原理，先找到CloudFlare的DNSSEC选项，然后Enable dnssec;

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第7张图片-笔记运维

同样的把这些CloudFlare DNSSEC的参数写到注册商那里去；这样就完成了dnssec设置咯

打开https://dnssec-analyzer.verisignlabs.com/，检测DNSSEC是否已启用；

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第9张图片-笔记运维

设置完DNSSEC后，那么再来设置一下CAA吧！

CAA 要启用，也是要 DNS 服务商支持才可以。国内的京东云DNS，阿里云DNS，DNS.COM都支持，但dnspod不支持。其他的没用过不太清楚！另外支持 CAA 记录的国外 DNS 服务这里有比较详细的记录：【https://sslmate.com/caa/support】

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第10张图片-笔记运维

第一：添加格式

添加 CAA 记录的说明如下：

主机记录填写@顶级域名，这样就会自动应用到多级域名。

CAA data 填写 0 issue "证书颁发机构域名"。

如果你用 Let’s Encrypt 颁发的免费证书，CAA data 部分直接填写如下格式即可。

0 issue "letsencrypt.org"

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第11张图片-笔记运维

还可以添加一条为 0 iodef mailto:[email protected] 的 CAA 记录，表示如果发现违背 CAA 记录的情况给这个邮箱发邮件通知。

CAA：格式为：flag tag value。其中flag目前取值为0-128；tag取值为issue、issuewild、iodef；value为不包含|、""、\、<>、中文字符的字符串。例如：0 issue www.yunwei114.com。

格式为：flag tag value 。

第二：利用工具

除了Google Cloud DNS, Route 53, DNSimple等常见了DNS解析服务外，如果你用的是BIND、PowerDNS、dnsmasq等，添加域名CAA记录与上面会有所不同，建议使用CAA记录自动在线生成来搞定。

工具直接生成网址：https://sslmate.com/caa/

填写域名后点 Auto-Generate Policy，这个工具会自动查询你的网站使用了什么证书，从而生成对应的 CAA 记录数据。如图：www.yunwei114.com的生成数据。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第12张图片-笔记运维

第三：添加CAA

既然，我们得到了CAA的数据，就可以来添加了，我们看看如何利用NS1.COM添加CAA。登录之后点击 zones 进入域名管理，如图：

填好，我们保存即可。

第四：CAA记录是否生效

我们可以使用SSL证书在线检测网站来查看自己的域名CAA记录是否生效。

网址：https://www.ssllabs.com/ssltest/index.html。

标签： ns1.com DNSSEC

本文地址： https://www.yunwei114.com/post/31.html

文章来源：菜鸟

版权声明：除非特别标注，否则均为本站原创文章，转载时请以链接形式注明文章出处。

上一篇linux查看端口占用情况

下一篇宝塔面板利用反向代理加速CDN

发表评论（已有3条评论）

评论列表

徐州德启科技 @回复

2020-04-20 06:01:22

namesilo并不支持第三方dns服务器地址，来设置DNSSEC，只能用他家的dns地址。

2020-05-03 13:50:54

@徐州德启科技 namesilo支持的，我自己就有其他网站在使用中

小鱼钓猫 @回复

2021-02-01 02:02:59

@菜鸟 namesilo不支持好像，必须要用他自己的，我刚才设置了DNSSEC但是检测一直找不到对应的DNSKEY,快无语了。。