如何使用CloudFlare开启DNSSEC?

DNSSEC的认证程序为原本不安全的DNS基础设施增加了一层安全防护。此功能保护了游客能被准确地定向到您的Web服务器。CloudFlare简化了DNSSEC的部署流程,并且对所有用户免费开放该功能!因此,你只需要借助CloudFlare就能一键部署DNSSEC。

启用DNSSEC

  1. 登录到 CloudFlare 的仪表板。
  2. 打开DNS。 alt
  3. 向下滚动到 DNSSEC,启用DNSSEC。alt
  4. “How to enable DNSSEC” 里有 Digest, Digest, Type, Algorithm, Key Tag。把它们复制下来,粘贴到域名注册商提供的域名控制面板>DS记录,然后保存。用不了多久就会生效了! alt

关于添加DS记录

要完成开启DNSSEC,你必须向你的域名注册商申请给你的域名添加一条DS Record,简称为DS记录。请注意,目前并非所有的顶级域名都支持DNSSEC,而像 .com \ .net \ .org 这些流行的顶级域名都可以顺利开启 DNSSEC。

还要注意,并非所有支持 DNSSEC 功能的域名注册商都兼容 CloudFlare 所采用的 DNSSEC 加密算法(algorithm 13,“算法13”,也被称为“ECDSA Curve P-256 with SHA-256”)。如果您的域名注册商不支持 DNSSEC,您可以将域名转移到下列支持 DNSSEC 的域名注册商那里,或通过电子邮件邀请域名注册商添加对 DNSSEC 功能的支持:

DNSSEC 域名注册商
支持 eNom, GoDaddy (only supports for a limited set of TLDs), Namecheap, DNSimple, Public Domain Registry, NameSilo, Name.com, Google Domains, Hover, Dynadot, DomainDiscount24, Gandi, 123-reg, Internet.bs, OVH, Joker.com, Moniker, Registro.br, GodZone, Tsohost, TransIP (.nl)
不支持或不完全支持 Network Solutions, FastDomain, DreamHost, 1&1 Internet, Wild West Domains, Reg.ru, OnlineNIC, Ascio, HiChina, ename.com, Xin Net, Bizcn.com, Register.com, Domain.com, Webfusion, Crazy domains, Mark Monitor, Big Rock, Mailnspace, NetEarthOne, Dotster, Hostway, InternetX, Register.com (Not currently supporting third party DNS)

一旦您更新了DS记录,CloudFlare将自动开启DNSSEC。现在,您可以通过第三方工具DNSViz来验证DNSSEC配置。