接入Cloudflare的域名开启DNSSEC

Cloudflare域名DNSSEC

很早前在Godaddy注册域名时曾经购买过Godaddy的Premium DNS服务,可以有DNSSEC服务,后来在其它域名注册商、DNS解析服务商的后台都看到过DNSSEC,不过没有深入研究。

最近我们的IPShu网站推出DNS相关专题内容,准备的过程中也对DNS解析的过程进行了深入探讨,也提到DNSSEC。而同事最近也在关注这块,我今天干脆花了一些时间去了解和尝试。

尝试后才发现开启、设置也很简单,以我的博客的域名jamesqi.com为例来进行设置,顺利的话,几分钟就可以设置好:

Cloudflare中设置DNSSEC

只需要在Cloudflare后台开启DNSSEC,就会生成DS记录:

Cloudflare的DNSSEC设置

将其中的数据项复制到域名注册商的后台设置中,以阿里云注册的域名为例:

阿里云注册域名DNSSEC设置

Cloudflare的这篇文章《什么是 DNS 安全?》解释得还比较详细,希望这样设置后能防范DNS绑架劫持、DNS欺骗污染等一些安全隐患。

来自VERISIGN LABS工具的DNSSEC Analyzer可以很方便地对输入的域名进行DNSSEC分析。

以前使用DNSPOD做解析的域名,需要花钱购买套餐才能支持DNSSEC,我今天就把部分域名解析转移到Cloudflare了,哪怕不使用CF的CDN服务只用DNS解析也可以。

另外,在阿里云注册的.cn域名目前不支持DNSSEC设置,而在腾讯云注册的.cn域名却是支持DNSSEC的,奇怪了。