當網域名稱的 DNS 解析被劫持時,使用者可能被導向惡意地址或釣魚網站,在偽造頁面上泄露帳號、密碼、訂單等敏感資訊。
阿里雲提供 DNSSEC (網域名稱系統安全擴充)配置能力,為網域名稱添加數字防偽標識。一旦解析器檢測到偽造響應,將主動拒絕串連,確保使用者始終訪問真實服務。
工作原理
DNSSEC 不改變 DNS 查詢流程,而是通過數位簽章和逐級驗證,確保使用者收到的解析結果沒有被偽造或篡改。
整個過程分為兩個階段:
設定階段(管理員操作)
在權威 DNS 服務商(如 阿里雲解析DNS)啟用 DNSSEC,系統會產生密鑰,並對所有記錄進行簽名,同時產生一條 DS 記錄(公開金鑰的加密指紋)。
將 DS 記錄提交到阿里雲,由其同步至
.com等頂級域的官方資料庫。
這相當於在上級機構完成“公開金鑰備案”。
驗證階段(使用者訪問時自動發生)
當使用者訪問網域名稱時,支援 DNSSEC 的解析器會:
從
.com頂級域擷取已備案的 DS 記錄(官方指紋)。從網域名稱的 DNS 服務商擷取當前的公開金鑰(DNSKEY)。
自動計算指紋並比對:若一致,則信任;否則拒絕響應。
只有通過驗證的 DNS 資料才會被返回,有效防止緩衝汙染和中間人攻擊。
操作步驟
步驟一:從DNS服務商擷取DS記錄
DNS服務在阿里雲:Alibaba Cloud DNS-公網權威解析頁面,在網域名稱列表中找到目標網域名稱,單擊其右側的DNSSEC設定,開啟後在配置頁面擷取。
DNS服務非阿里雲:到對應DNS服務商擷取。
步驟二:在阿里雲網域名稱控制台添加DS記錄
網域名稱列表找到待配置的網域名稱,單擊操作列下的管理,在DNSSEC設定頁面,單擊添加DS記錄。
填寫從DNS服務商擷取的DS資料,單擊提交並驗證。
每個網域名稱最多可以添加8條DS記錄。
步驟三:驗證配置生效
推薦驗證工具:DNSViz
驗證方法:在工具中輸入欄位名並開始分析。如果分析結果每一級都顯示出了 DS,且無紅色報錯框,說明已開啟DS,並已生效。
管理DNSSEC記錄
同步DS記錄
若網域名稱是從其他網域名稱註冊商轉入阿里雲,且在原註冊商處添加過DNSSEC記錄,可在DNSSEC設定頁面單擊同步DS記錄,將之前添加的DNSSEC記錄同步至阿里雲控制台。無需手動添加。
關閉DNSSEC
網域名稱DNSSEC設定頁面,刪除DS記錄。
DNS服務商控制台,關閉DNSSEC。
生產應用建議
DNS付費版到期,如計劃不再使用DNS付費版時,需先到網域名稱註冊商刪除DS記錄,然後在Alibaba Cloud DNS控制台關閉DNSSEC,避免造成解析失敗情況。
已開啟DNSSEC服務,且使用 “網域名稱帳號間轉移” 功能時,指將網域名稱從A帳號轉移到B帳號, 需先到網域名稱註冊商刪除DS記錄,然後在Alibaba Cloud DNS控制台關閉DNSSEC,避免造成解析失敗情況。
已開啟DNSSEC服務,且使用 “跨帳號轉移DNS解析”功能時,指將網域名稱DNS解析從A帳號轉移到B帳號,需先到網域名稱註冊商刪除DS記錄,然後在Alibaba Cloud DNS控制台關閉DNSSEC,避免造成解析失敗情況。
常見問題
網域名稱轉移時為什麼需要關閉DNSSEC
為避免解析失敗,網域名稱轉移前需關閉DNSSEC。DNSSEC依賴註冊商處的DS記錄驗證DNS響應,若轉移時未刪除DS記錄,會導致簽名鏈斷裂,遞迴解析器拒絕返回結果,造成服務中斷。轉移完成後可重新啟用DNSSEC。
網域名稱在控制台中沒有DNSSEC設定入口
網域名稱尾碼不支援。目前支援的尾碼包括.com、.net、.cc、.tv、.name、.biz、.club、.cn、.top等。如果在網域名稱控制台中沒有DNSSEC設定入口,則表示該尾碼當前不支援此功能。