了解和配置 Cloudflare DNS 中的 DNSSEC

DNSSEC 是在您的 DNS 之上添加的一层验证。要配置 DNSSEC,请先在 Cloudflare 控制面板中启用它,然后在域 registrar 处添加 DS 记录。


概述

DNSSEC 会为其他不安全的 DNS 基础设施添加验证层。它将保证访问者在将域键入 Web 浏览器时被定向到您的 Web 服务器,从而避免中间人攻击和其他类型的 DNS 伪造。

有关更深入的信息,请参阅本文末尾的了解有关 DNSSEC 的更多信息部分。

启用 DNSSEC 时,Cloudflare 会执行以下操作:

  • 为您的域名签名
  • 发布您的公共签名密钥
  • 生成您的 DS 记录

请注意,并非所有 registrar 和顶级域(TLD)都支持 DNSSEC。要探索您的选项,请参阅如果我的 registrar 或 TLD 不支持 DNSSEC 怎么办?

为您的域启用 DNSSEC 需要在 Cloudflare 中启用 DNSSEC,并在 registrar 的 DNS 配置中添加特殊记录。

以下是向 Cloudflare 域名添加 DNSSEC 支持所需的两个步骤。


步骤 1 - 在 Cloudflare DNS 中启用 DNSSEC

通过首先在 Cloudflare 控制面板板中启用 DNSSEC,您要求 Cloudflare 生成在 registrar 处向域添加委派签名者(DS)记录所需的数据。

某些 registrar 不支持 CloudFlare 选择的密码套件(算法 13,也称为带有 SHA-256 的 ECDSA 曲线 P-256)。请注意,某些 registrar 支持一组不同的验证算法,具体取决于 TLD。如果您的 registrar 或 TLD 注册管理机构不支持算法 13,请参阅如果我的 registrar 或 TLD 不支持 DNSSEC 怎么办?

要获取 Cloudflare DS 记录:

1.登录 Cloudflare 控制面板。

2.确保已选择您所需的 DS 记录的网站。

3.单击 DNS 应用。

4.向下滚动到 DNSSEC 面板。

5.单击启用 DNSSEC。在 registrar 处添加 DS 记录之前,您会看到一个对话框,通知您配置处于待处理状态。

6.接下来,单击以展开 DNSSEC 面板中的 DS 记录下拉列表。

7.复制所显示的 DS 记录信息,因为下面步骤 2 将需要此信息。


步骤 2 - 将 DS 记录添加到 registrar

完成上面的步骤 1 后,您应该使用 Cloudflare 生成的 DS 数据来完成此步骤。

要完成 DNSSEC 配置,您的域必须在 registrar 的域 DNS 配置中拥有 DS 记录。在下面找到您的 registrar,并按照提供的说明操作。

Registrar

说明

123 Reg

联系您的 registrar 客户支持,并提供您从 Cloudflare 收到的 DS 记录数据。

DNSimple

Using CloudFlare DNSSEC with DNSimple

domaindiscount24

DNSSEC

dotster

联系您的 registrar 客户支持,并提供您从 Cloudflare 收到的 DS 记录数据。

DreamHost

DNSSEC overview

在 DreamHost 中,使用 2 作为 Digest Type,而不是使用 SHA256

dynadot

How do I set up DNSSEC?

enom

Adding a DNSSEC to a Domain Name

gandi

DNSSEC

在 gandi 中,请确保在“算法”下拉列表中选择“算法 13”。

GoDaddy

Add a DS record

godzone

联系您的 registrar 客户支持,并提供您从 Cloudflare 收到的 DS 记录数据。

在 godzone Web 控制面板中,您可以在Domains选项卡下添加 DS 记录。

Google Domains

Setting Up DNSSEC security

请参阅自定义名称服务器的说明

hover

Understanding and managing DNSSEC

internet.bs

联系您的 registrar 客户支持,并提供您从 Cloudflare 收到的 DS 记录数据。

您可以添加 DS 记录:

  • My Domains > Update DNS List > Manage DNSSEC > Enable DNSSEC

Joker.com

DNSSEC Support

在 Joker.com 中,使用 2 作为“Digest Type”,而不是使用 SHA256

MarkMonitor

MarkMonitor 支持验证算法 13,并自动实施可扩展配置协议(EPP)以将 DS 记录传递到以下 TLD 的注册管理机构:

.com、.biz、.net、.org、.us、.eu、.fr、.de、.co、.lu、.ch、.be、.li、.co.uk、.wf、.tf、.pm、.yt、.se、.af、.cx、.gs、.hn、.ki、.nf、.sb、.tl、.re

要添加 DS 记录,请在 MarkMonitor 管理门户的 DNSSEC 详细信息面板中输入 DS 数据。 

Moniker

联系您的 registrar 客户支持,并提供您从 Cloudflare 收到的 DS 记录数据。

您可以添加 DS 记录:

  • My Domains >Advanced Settings > DNSSEC > DSData

name.com

Managing DNSSEC

namecheap

Managing DNSSEC for domains pointed to Custom DNS

nameISP

How do I enable DNSSEC for my domain?

在 nameISP 中启用 DNSSEC 不需要从 CloudFlare 帐户复制和粘贴 DS 记录数据。

namesilo

DS Records (DNSSEC)

OVH

OVH 通过其 API 支持 DNSSEC 与算法 13。请参阅文档

API 调用会返回稍有不同的 DS 记录。这是因为 OVH 更喜欢使用 SHA-256 而不是 SHA-1,因此在输入 DS 记录后,OVH 将重新计算 DS 以使用 SHA-1。这不会对您的网站造成任何问题。

OVH 还支持通过 DNS 管理器添加 DS 记录。

Public Domain Registry

联系您的 registrar 客户支持,并提供您从 Cloudflare 收到的 DS 记录数据。

此 registrar 可能具有有限的 TLD。

请参阅 Adding Delegation Signer (DS) Records.

register.com

联系您的 registrar 客户支持,并提供您从 Cloudflare 收到的 DS 记录数据。

registro.br

DNS e DNSSEC Tutoriais (葡萄牙语)

Tsohost

联系您的 registrar 客户支持,并提供您从 Cloudflare 收到的 DS 记录数据。


如果我的 registrar 或 TLD 不支持 DNSSEC 怎么办?

要启用 DNSSEC,您的 registrar 和注册管理机构 (TLD) 都需要支持 DNSSEC 和 Cloudflare 首选的密码选择算法 13。

尽管 ICANN 需要 DNSSEC 支持,并且算法 13 已标准化多年,但一些 registrar 和注册管理机构尚未支持这些协议。

要尝试让您的 registrar 支持 DNSSEC,您有三种选择:

1.联系您的 registrar,要求 DNSSEC 采用现代加密技术。许多 registrar 都在根据需求量来添加更多支持,因此通过与其联系,您可让他们知道需要使用算法 13 的 DNSSEC。

2.您可以将您的域名转移到支持 DNSSEC 和算法 13 的其他 registrar,如上面的步骤 2 中所列。

3.最后,您可以向 ICANN 提出投诉,理由是您的 registrar 不符合规定。ICANN 会要求 registrar 支持所有可用 DS 算法类型的 DNSSEC。

如果 TLD 级别缺乏支持,请尝试上面的选项 1。您可以在 Iana 根区数据库中找到 TLD 注册管理机构的联系信息。


了解有关 DNSSEC 的更多信息

 

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持