網域名稱系統安全擴充功能 (DNSSEC) 是網域名稱系統 (DNS) 的一項功能,可驗證網域名稱查詢的回應。這項功能「不」會為這些查詢提供隱私保護服務,但可防止攻擊者操縱或汙染 DNS 要求的回應。
如要保護網域免於假冒和汙染攻擊,請在下列位置啟用及設定 DNSSEC:
DNS 區域:如果您為區域啟用 DNSSEC,Cloud DNS 會自動管理 DNSSEC 金鑰 (DNSKEY 記錄) 的建立和輪替作業,以及資源記錄數位簽章 (RRSIG) 記錄的區域資料簽署作業。
頂層網域 (TLD) 註冊資料庫 (在
example.com中,則是指.com):在 TLD 註冊資料庫中,您必須有 DS 記錄,用於驗證區域中的 DNSKEY 記錄。請在網域註冊商處啟用 DNSSEC,以完成這項驗證作業。DNS 解析器:如需完整的 DNSSEC 保護,您必須使用 DNS 解析器,「驗證」DNSSEC 簽署網域的簽名。如果您負責管理網路的 DNS 服務,可以為個別系統或本機快取解析器啟用驗證。
如要進一步瞭解 DNSSEC 驗證,請參閱下列資源:
您也可以設定系統使用公開解析器來驗證 DNSSEC,尤其是 Google 公用 DNS 和 Verisign 公用 DNS。
第二個點限制 DNSSEC 適用的網域名稱。註冊商和註冊資料庫都必須支援您所使用 TLD 的 DNSSEC。如果您無法透過網域註冊商新增 DS 記錄來啟用 DNSSEC,則在 Cloud DNS 中啟用 DNSSEC 不會有任何作用。
啟用 DNSSEC 之前,請先參閱下列資源:
- 網域註冊商和 TLD 註冊資料庫適用的 DNSSEC 說明文件
- Google Cloud 社群教學課程的網域註冊商專屬操作說明
- 網域註冊商 DNSSEC 支援的 ICANN 清單 (用於確認您的網域支援 DNSSEC)
如果 TLD 註冊資料庫支援 DNSSEC,但您的註冊商不支援 (或不支援該 TLD),您或許可以將網域轉移至支援 DNSSEC 的其他註冊商。完成這項程序後,即可在該網域中啟用 DNSSEC。
管理作業
如需管理 DNSSEC 的逐步說明,請參閱下列資源:
如要將區域的 DNSSEC 狀態從
Transfer變更為On,請參閱這篇文章。如要替委派的子網域啟用 DNSSEC,請參閱「委派 DNSSEC 簽署的子網域」一節。
DNSSEC 強化的記錄集類型
如要進一步瞭解記錄集類型和其他記錄類型,請參閱下列資源:
如要控管哪些公開憑證授權單位 (CA) 可為您的網域產生 TLS 或其他憑證,請參閱「CAA 記錄」一節。
如要透過 IPsec 通道啟用隨機加密,請參閱「IPSECKEY 記錄」一節。
受 DNSSEC 保護區域的 DNS 記錄類型
如要進一步瞭解 DNS 記錄類型和其他記錄類型,請參閱下列資源:
- 如要讓 SSH 用戶端應用程式驗證 SSH 伺服器,請參閱「SSHFP 記錄」一節。
遷移或轉移已啟用 DNSSEC 的區域
Cloud DNS 支援遷移已啟用 DNSSEC 的區域,這些區域還必須已在網域註冊商處啟動 DNSSEC,不會中斷信任鏈。您可以將區域遷移至其他同樣支援遷移作業的 DNS 營運商,或從這類營運商遷移區域。
如要將 DNSSEC 簽署的區域遷移至 Cloud DNS,請參閱「將 DNSSEC 簽署的區域遷移至 Cloud DNS」一節。
如要將 DNSSEC 簽署的區域遷移至其他 DNS 營運商,請參閱「從 Cloud DNS 遷移 DNSSEC 簽署的區域」一節。
如果現有網域是由註冊商託管,建議先將名稱伺服器遷移至 Cloud DNS,再轉移到其他註冊商。
後續步驟
- 如要查看 DNSSEC 金鑰記錄,請參閱「查看 DNSSEC 金鑰」一文。
- 如要使用代管區域,請參閱「建立、修改及刪除區域」一文。
- 如要瞭解使用 Cloud DNS 時可能遇到的常見問題解決方案,請參閱這篇文章。
- 如要查看 Cloud DNS 總覽,請參閱這篇文章。