DNSSEC是域名系统(DNS)的一项功能,用于验证对域名查找的响应。它可以防止攻击者操纵或毒害对DNS请求的响应。DNS技术的设计没有考虑到安全性。对DNS基础架构的攻击的一个示例是DNS欺骗。在这种情况下,攻击者会劫持DNS解析程序的缓存,导致访问网站的用户接收到错误的IP地址,并查看攻击者的恶意站点,而不是他们想要的站点。
当您激活DNSSEC时,我们将为您的区域生成公钥和私钥。公钥以DS或DNSKEY记录的形式提供给您。应在注册域名的域提供商处配置记录。在我们的网络中部署您的区域期间,我们将使用私钥对您的所有记录进行签名。如果这些签名与公钥匹配,最终用户解析程序将接收并检查这些签名,并且解析程序将能够验证这些记录在网络传输期间未被操纵。
DNSSEC的主要目的是保护用户的安全。这发生在用户在浏览器中键入域名并由解析程序验证数字签名之后。只有当数据中的数字签名和主DNS服务器中的数字签字匹配时,信息才能到达用户的设备。这样,它就保证了用户与合法网站的连接。
DNSSEC实现了数字签名和公钥的组合来验证信息,并将新记录添加到现有的DNS记录中。DNSKEY和RRSIG使用公钥加密技术对DNS数据进行数字“签名”。它们坚持使用其他流行的记录,如A、CNAME和MX。
名称服务器保存每个DNS区域的公钥和私钥。因此,当用户进行查询时,服务器会提供用其私钥签名的信息。然后收件人必须使用公钥打开它。这样,如果信息被修改和误导,它就不会正确打开。最终,收件人将收到一条错误消息。
DNSSEC管理服务是我们DNS托管套餐(Premium DNS, DDoS Protected DNS, and GeoDNS)的一部分,您不需要为了更好的安全性而产生额外的成本!
|
Premium S $2.95/月 |
Premium M $4.95/月 |
Premium L $14.95/月 |
|
|---|---|---|---|
| 使用DNSSEC的托管Anycast DNS: ? | |||
| DNS域: ? | 5 | 75 | 400 |
| DNS记录: ? | 200 | 3,500 | 20,000 |
| 每月的DNS查询: ? | 5M i | 无限 | 无限 |
| 邮件转发: ? | 10 | 150 | 1,000 |
| DNS故障转移检查: ? | 1 | 2 | 3 |
| 完全免费试用。不需要信用卡。没有小把戏。 |
只需单击控制面板中的激活按钮,我们的系统就会保护该区域。只需在提供程序中添加DS记录,即可完成安装。
我们对所有签名使用椭圆曲线算法(ECDSA P-256),该算法比标准RSA密钥更强、更小。
保持DNS答案尽可能小意味着更快的速度!此外,我们的Anycast DNS网络可以从距离解析器最近的位置提供更快速的响应。
无论哪一天,无论何时,我们都能提供连续不间断的网络监控和支持。 我们的技术支持团队通过实时聊天和工单为您提供24/7在线服务。您可以免费迁移您的区域,在这里了解更多.
为激活DNSSEC签名和获取域DS记录,您必须登录进入您的控制面板然后导航到区域。在区域的控制面板里您在页面上方会看到一个叫做“DNSSEC”的菜单。从这个页面您可以激活或者停止DNSSEC区域签名。我们推荐您访问我们的DNSSEC维基页面来查找关于DNSSEC实施的更多详细信息。
DNSSEC提供了一种验证DNS响应数据的方法。当您想连接到一个特定的网站时,您的浏览器应该得到相应的IP地址。不幸的是,攻击者有可能拦截您的DNS查询并放置虚假信息。因此,您的浏览器将连接到一个伪造的网站,您可以在那里输入个人信息,如银行详细信息
多亏了DNSSEC,才有了额外的安全级别,您的浏览器可以检查DNS数据是否确实正确且没有更改。此外,DNSSEC不仅用于网络,还可用于任何其他互联网服务或协议,例如SMTP和IP语音(VoIP)。
DNSSEC验证是一个简单的过程,包括以下步骤: