>>>>>> 文章點閱數:2,547 <<<<<<

2015年11月,
CloudFlareDNS推出DNSSEC功能,
用來驗證網域跟IP之間的正確性,
解決域名容易受到DNS污染的問題,
一方面也能降低域名被用來DNS放大攻擊的可能性。

 

CloudFlare DNSSEC官網 https://www.cloudflare.com/dnssec/

dnssec

設定CloudFlareDNS的DNSSEC,請先點選CloudFlare面板上的DNS功能選單

dnssec1

頁面下方會看到DNSSEC選項,請點選”Enable DNSSEC”開始配置

dnssec2

此時會出現DNSSEC的DS紀錄與其他相關數據,請提交到網域註冊商進行設定

dnssec3

以下是目前提供DNSSEC設定的註冊商列表,並提供相關配置說明

網域註冊商配置列表 https://support.cloudflare.com/hc/en-us/articles/209114378

dnssec4

部分註冊商已經提供自動化的方式配置DNSSEC,但筆者的註冊商NameCheap則需要聯絡即時客服人員請他們開工單設定DNSSEC。

以下是CloudFlareDNS的DNSSEC配置成功的狀態

dnssec5

此時可以透過第三方檢測工具測試DNSSEC狀態

ViewDNS Tools http://viewdns.info/dnssec/

dnssec6

此時,可以檢測常見Public DNS的DNSSEC生效狀態,在Linux有很好用的dig工具,如果是Windows用戶可以安裝套件也能使用dig工具。

BIND下載官網 http://www.bind9.net/download

dnssec7

可以看到官網上面有很多鏡像載點,但是大多已經失效,以下整理還可以用的載點

日本 ftp://ftp.iij.ad.jp/pub/network/isc/bind9/
美國 ftp://ftp.nominum.com/pub/isc/bind9/
美國 ftp://ftp.isc.org/isc/bind9/

請點選最新版本號,目前最新正式版為9.9.8

dnssec8

請依照Windows系統下在x86或x64,這裡以x86示範

dnssec9

下載時可能會被Chrome認為是罕見檔案需手動解除封鎖,並請解壓縮檔案

dnssec10

請先安裝資料夾中”vcredist_x86.exe”(這是x86版本的)

並將資料夾中的.dll應用程式擴充檔與dig.exe全部複製

dnssec11

打開Windows的System32資料夾貼上.dll應用程式擴充檔與dig.exe

dnssec12

上述步驟操作完後,開啟cmd(Win+R執行cmd或搜尋cmd開啟)

鍵入dig 網域名稱 +dnssec @要測試的PublicDNS的IP

範例 dig paypal.com +dnssec @1.2.4.8

可以查詢到CNNIC SDNS上PayPal域名的RRSIG紀錄表示支援DNSSEC並且生效

目前測試Google PublicDNS、Hinet PublicDNS、CNNIC SDNS、百度 BaiduDNS均支持DNSSEC,這對於DNS安全有很大的幫助。

dnssec13

 

CloudFlare DNSSEC功能配置
標籤:    
  • 您的博客使用tiny tiny rss无法订阅,显示ssl错误35,镜像站可以

    • 您好,
      由于站点使用CloudFlare的CDN,
      使用https的RSS容易出现错误回应,
      麻烦您修改成http的方式连线RSS,
      应该就可以正常访问啰,感谢您的关注。

      • 我的阅读器也是用的cloudflare,订阅您的镜像网站没问题,很奇怪的事情。

        • 请问您的RSS也有启动CloudFlare免费提供的SSL功能吗?
          我猜可能是CloudFlare的SSL比较特殊

          • 我用的是非强制ssl的那个。

          • 等等我去研究一下问题
            建议您先透过
            http://www.hzsh.us/feed
            获取RSS,因为我的镜像站点有很多个
            资讯更新比较无法即时同步,
            这部份还请多包涵!

          • sorry忘了说这个好像80端口也不行,会强制到ssl

          • 会强制ssl?
            可是我没特别设置301耶…

          • 我回家再试试

    • 您好,经过测试
      免费版CloudFlare所提供的SSL
      会造成站点feed无法正常读取的问题
      暂时只能手动修改成非https连线来解决
      测试工具
      https://validator.w3.org/feed/