網域名稱系統安全擴充功能 (DNSSEC) 是網域名稱系統 (DNS) 的一項功能,可驗證網域名稱查詢的回應。不會為這些查詢提供隱私權保護,但可防止攻擊者操縱或毒害 DNS 要求的回應。
如要保護網域免於遭受假冒和中毒攻擊,請在下列位置啟用並設定 DNSSEC:
DNS 區域。如果您為區域啟用 DNSSEC,Cloud DNS 會自動管理 DNSSEC 金鑰 (DNSKEY 記錄) 的建立和輪替作業,以及使用資源記錄數位簽章 (RRSIG) 記錄簽署區域資料。
頂層網域 (TLD) 註冊資料庫 (對於
example.com,則是.com)。在 TLD 註冊資料庫中,您必須有 DS 記錄,才能驗證區域中的 DNSKEY 記錄。方法是在網域註冊商中啟用 DNSSEC。DNS 解析器。如要獲得完整的 DNSSEC 保護,您必須使用 DNS 解析器,驗證 DNSSEC 簽署網域的簽名。如果您管理網路的 DNS 服務,可以為個別系統或本機快取解析工具啟用驗證功能。
如要進一步瞭解 DNSSEC 驗證,請參閱下列資源:
也可以設定系統使用公開解析器來驗證 DNSSEC,尤其是 Google 公用 DNS 和 Verisign 公用 DNS。
第二點則是限制 DNSSEC 可運作的網域名稱。註冊商和註冊機構都必須支援您使用的頂層網域 DNSSEC。如果無法透過網域註冊商新增 DS 記錄來啟用 DNSSEC,在 Cloud DNS 中啟用 DNSSEC 就不會生效。
啟用 DNSSEC 前,請參閱下列資源:
- 網域註冊商和頂層網域註冊管理機構的 DNSSEC 說明文件
- Google Cloud 社群教學課程的網域註冊商專屬操作說明
- ICANN 名單,確認網域註冊商是否支援 DNSSEC。
如果頂層網域註冊機構支援 DNSSEC,但您的註冊商不支援 (或不支援該頂層網域),您或許可以將網域轉移至支援 DNSSEC 的其他註冊商。完成這項程序後,您就可以為網域啟用 DNSSEC。
管理作業
如需 DNSSEC 管理的逐步操作說明,請參閱下列資源:
如要將區域的 DNSSEC 狀態從
Transfer變更為On,請參閱「結束 DNSSEC 傳輸狀態」一文。如要為委派的子網域啟用 DNSSEC,請參閱「委派 DNSSEC 簽署的子網域」。
DNSSEC 強化的記錄集類型
如要進一步瞭解記錄集類型和其他記錄類型,請參閱下列資源:
如要控制哪些公開憑證授權單位 (CA) 可以為您的網域產生 TLS 或其他憑證,請參閱 CAA 記錄。
如要透過 IPsec 通道啟用隨機加密,請參閱「IPSECKEY 記錄」。
配合受 DNSSEC 保護區域使用的 DNS 記錄類型
如要進一步瞭解 DNS 記錄類型和其他記錄類型,請參閱下列資源:
- 如要讓 SSH 用戶端應用程式驗證 SSH 伺服器,請參閱「SSHFP 記錄」。
啟用 DNSSEC 的可用區遷移或轉移
Cloud DNS 支援遷移啟用 DNSSEC 的區域,這些區域已在網域註冊商處啟動 DNSSEC,且不會中斷信任鏈。您可以將區域遷移至其他支援遷移的 DNS 營運商,也可以從其他 DNS 營運商遷移區域。
如要將 DNSSEC 簽署的區域遷移至 Cloud DNS,請參閱「將 DNSSEC 簽署的區域遷移至 Cloud DNS」。
如要將 DNSSEC 簽署的可用區遷移至其他 DNS 營運商,請參閱「從 Cloud DNS 遷移 DNSSEC 簽署的可用區」。
如果現有網域是由註冊商代管,建議您先將名稱伺服器遷移至 Cloud DNS,再轉移至其他註冊商。
後續步驟
- 如要查看 DNSSEC 金鑰記錄,請參閱「查看 DNSSEC 金鑰」。
- 如要使用受管理的區域,請參閱「建立、修改及刪除區域」。
- 如要找出使用 Cloud DNS 時可能遇到的常見問題解決方案,請參閱「疑難排解」。
- 如要瞭解 Cloud DNS 的總體概況,請參閱 Cloud DNS 總覽。