Alibaba Cloud DNS：DNSSEC

什麼是DNSSEC

網域名稱系統安全擴充（DNS Security Extensions），簡稱DNSSEC。開啟DNSSEC，可有效防止DNS欺騙和緩衝汙染等攻擊。它是通過數位簽章來保證DNS應答報文的真實性和完整性，能夠保護使用者不被重新導向到非預期地址，從而提高使用者對互連網的信任，並保護您的核心業務。

DNSSEC使用注意事項

1. DNSSEC目前面向付費版DNS使用者（不限版本）開放使用。

2. 使用子網域名稱獨立託管DNS功能，則不支援開啟DNSSEC。

3. 使用輔助DNS功能，則不支援開啟DNSSEC。

4. DNS付費版到期，如計劃不再使用DNS付費版時，需先到網域名稱註冊商刪除DS記錄，然後在Alibaba Cloud DNS控制台關閉DNSSEC，避免造成解析失敗情況。

5. 已開啟DNSSEC服務，且使用 “網域名稱帳號間轉移” 功能時，指將網域名稱從A帳號轉移到B帳號， 需先到網域名稱註冊商刪除DS記錄，然後在Alibaba Cloud DNS控制台關閉DNSSEC，避免造成解析失敗情況。

6. 已開啟DNSSEC服務，且使用 “跨帳號轉移DNS解析”功能時，指將網域名稱DNS解析從A帳號轉移到B帳號，需先到網域名稱註冊商刪除DS記錄，然後在Alibaba Cloud DNS控制台關閉DNSSEC，避免造成解析失敗情況。

7. 已開啟DNSSEC服務，使用“解除綁定網域名稱”功能時，需先到網域名稱註冊商刪除DS記錄，然後在Alibaba Cloud DNS控制台關閉DNSSEC，避免造成解析失敗情況。

8. DNSSEC功能，需要網域名稱解析服務商和網域名稱註冊服務商都支援DNSSEC，方可生效，目前Alibaba Cloud DNS和阿里雲網域名稱註冊商均支援此項服務。

DNSSEC開啟設定方法

1. 登入Alibaba Cloud DNS-公網權威解析頁面，選擇需要開啟DNSSEC的網域名稱，點擊更多-DNSSEC設定。

2. 在DNSSEC設定頁面，開啟DNSSEC。

3. 複製DS記錄資訊如 Key Tag 、Algorithm、Digest Type、Digest， 然後到網域名稱註冊商處增加一條DS記錄。

4. 以阿里雲網域名稱註冊商為例， 請參考 配置DNSSEC 文檔。

DNSSEC生效測試方法

請使用 測試載入器 測試。

檢測DNSSEC是否開啟

以dns-example.com為例，例如在圈中地區未展示有 DS 代表未開啟DNSSEC服務。

DNSSEC已生效

測試頁面中如每一級都顯示出了 DS，且無紅色報錯框，說明已開啟DS，並已生效。

DNSSEC未生效

例如當測試頁面如出現紅框報錯，則代表DNSSEC未生效，可通過提交工單排查。

DNSSEC關閉設定方法

步驟一：在網域名稱註冊商處將DS記錄刪除。

以阿里雲註冊網域名稱為例：

1. 登入網域名稱控制台。

2. 在 網域名稱列表 頁面單擊目標網域名稱後方 操作 列的 管理 。

3. 單擊左側導覽列 DNS管理 下的 DNSSEC設定 ，然後單擊DS記錄後方的 刪除 。

步驟二：在Alibaba Cloud DNS控制台關閉DNSSEC

1. 在Alibaba Cloud DNS-公網權威解析頁面，選擇需要關閉DNSSEC的網域名稱，點擊更多-DNSSEC設定。

2. 在DNSSEC設定頁面關閉。

   警告

   請務必按照步驟一、步驟二的順序操作，否則可能導致解析失敗異常。

常見問題

DNSsec驗證有黃色warnings提醒有影響嗎？

黃色不影響您網域名稱的DNSsec生效， 阿里雲的權威DNS的有智能解析，所以權威DNS返回的IP和認證glue address記錄不完全一樣屬於正常現象。