什麼是 DNSSEC ?
DNSSEC 是一個 DNS 的安全強化技術。其將 DNS 所發布的資訊透過加密金鑰的方式進行數位簽署,讓這些資訊更難以被偽造,進而提高安全性,並且保護網站。
DNS 一直以來都是駭客攻擊的熱門目標,是因為 DNS 本身有漏洞,有機會讓駭客攻擊網站。 負責 Gandi 域名註冊商跟 CloudFlare CDN 供應商,事先早全面支援 DNSSEC 保護功能,可減低網站被攻擊的風險,不過預設是沒有啟用,要如何啟用呢?
以下就以 Gandi 搭配 CloudFlare DNS 做示範為例,來說明如何啟用 DNSSEC 功能。
啟用 DNSSEC 機制方法
前往 CloudFlare Dash 介面,選擇網域。
點擊 DNS 選單後,往下拉看到 DNSSEC 區塊,按下 Enable DNSSEC 開啟,需要一段時間更新組態完成。
然後剛才 DNSSEC 產生的公開金鑰 (Public Key) 完整複製下來。
若沒有設定好的話,可能導致網域名稱無法正確解析或正常使用,特別請注意一下。
再回到 Gandi 網域註冊介面那裡,點擊您註冊的網域名稱進入。
選擇 DNSSEC,再點 [新增加密金鑰]。
旗標 (Flag) 選 257 KSK,演算法部分下拉式選 13,然後剛把公開金鑰 (Public Key) 剛複製下來,在下方欄位的公開金鑰貼上去,再按新增。就等需要時間,直到上方有顯示二個對話框,就這樣完成了。
再來回到 ClouFlare 那裡按下 Continue 後,就會開始動作,等待 DS 紀錄新增到您的註冊商,等到下方顯示 Success! sakamoto.blog is protected with DNSSEC. 代表是 DNSSEC 啟用保護動作成功囉。
如何辨別 DNSSEC 是否有正常啟用?
可先到「DNSSEC Analyzer」線上工具檢測您的 DNSSEC 狀態,輸入您的網址上去,就會檢測報告出來,只要看所有項目全部是綠色勾勾,代表是您 DNSSEC 啟用狀態囉~
CloudFlare、Gandi 提供 DNSSEC 是免費服務,所以放心使用,這樣才能協助保障您的網站免得受到威脅損害,例如駭客攻擊和仿冒 IP DNS。