Defaults.Exposed › 设置 › DNSSEC

如何在 GoDaddy 上设置 DNSSEC

在 GoDaddy 中一键开启 DNSSEC，让任何人都无法伪造你的 DNS 应答、劫持你的域名。

这对你的业务意味着什么

当有人访问你的网站或给你发邮件时，他们的电脑会先向 DNS 系统询问正确的地址。这些应答通常未经签名传输，因此能够篡改查询的攻击者可以悄悄把你的访客引向假冒网站，或把你的邮件改道到他自己的服务器上——而地址栏里始终显示着你真实的域名。

DNSSEC 能阻止这一点。它用密码学方式为你的 DNS 应答签名，于是任何查询你的人都能证明应答确实来自你、且在途中未被篡改。说得直白一点：它能挡住域名劫持和缓存投毒——这些正是把你自己的域名变成对付客户的武器的攻击。它免费，而在 GoDaddy 上通常只需拨动一个开关。

DNSSEC 的工作原理（以及为什么 GoDaddy 在这里很省事）

DNSSEC 分两半：DNS 托管方为你的记录签名，并发布密钥（一条 DNSKEY）以及一个被称为 DS 记录的小型指纹；注册商则把这条 DS 记录登记到父级区域，让互联网的其余部分得以信任这些签名。

当 GoDaddy 同时是你的注册商和 DNS 托管方时——对大多数使用 GoDaddy 域名服务器的 GoDaddy 域名来说正是如此——GoDaddy 会替你完成这两半。你拨动一个开关；GoDaddy 自动生成密钥并把 DS 记录登记到信任链上。无需在两个系统之间复制粘贴任何值。

真正的风险——什么时候没那么简单

配置错误时，DNSSEC 可能让你的域名彻底下线。这种危险主要出现在注册商和 DNS 托管方是不同公司时，或在你迁移 DNS 托管方时：

• 如果你的域名在 GoDaddy 注册，但 DNS 托管在别处，那么 GoDaddy 的一键开关并不适用——你必须在真正的 DNS 托管方处启用签名，然后手动把 DS 记录添加到 GoDaddy。
• 如果你要把 DNS 从 GoDaddy 迁走，请先关闭 DNSSEC。 一条残留的、不再匹配任何活跃签名托管方的 DS 记录，会导致查询失败、域名一片漆黑。

如果 GoDaddy 既是注册商又是 DNS 托管方，下面的一键流程是安全的。

先确认 GoDaddy 在为你解析 DNS

这只在 GoDaddy 确实负责回应你域名的 DNS 时才有意义。确认你的域名使用的是 GoDaddy 域名服务器：在 GoDaddy 账户中打开域名，查看它的**域名服务器（Nameservers）**设置。如果显示的是 GoDaddy 自己的域名服务器，那么一键开关就是正确路径。如果域名服务器指向另一家服务商（例如单独的 DNS 托管方），请在那家服务商处启用 DNSSEC，然后把它给你的 DS 记录添加到 GoDaddy。

GoDaddy 上的操作步骤（一键，GoDaddy 既是注册商又是 DNS 托管方）

1. 登录你的 GoDaddy 账户。
2. 进入我的产品（My Products）（或域名组合 Domain Portfolio）。
3. 找到你的域名，打开它的管理页面——点击域名或三点菜单，选择 Manage DNS / Domain Settings。
4. 滚动到 Additional Settings（附加设置）区域（在某些账户中它出现在 DNS Management 下）。
5. 找到 DNSSEC，点击 Manage 或开关。
6. 把 DNSSEC 切换为开（on）。
7. 确认。GoDaddy 会生成密钥、为你的区域签名，并替你把 DS 记录发布到信任链上——没有任何东西需要复制到别处。

当你的 DNS 托管在别处时的操作步骤

如果 GoDaddy 只是你的注册商，而另一家公司托管你的 DNS：

1. 先在你的 DNS 托管方处启用 DNSSEC，并复制它生成的 DS 记录（你会用到 Key Tag、Algorithm、Digest Type 和 Digest）。
2. 在 GoDaddy 中打开域名，在 Additional Settings 下找到 DNSSEC 区域。
3. 选择**添加（add）**一条 DS 记录，把你 DNS 托管方给的值原样填入。
4. 保存。DS 记录现已登记到父级区域，信任链完成。

GoDaddy 上人们常踩的坑

• 先确认是谁在托管你的 DNS。 只有当 GoDaddy 既是注册商又是 DNS 托管方时，简单的一键开关才能把整件事一次做完。如果 DNS 在别处，光靠开关是不够的。
• 不要在两处都开启。 如果你的 DNS 托管方已经为区域签名，那么你只需在 GoDaddy 处添加它的 DS 记录——不要再去拨动 GoDaddy 自己的签名开关，否则你会有两套相互冲突的配置。
• 手动填写时务必原样复制 DS 值。 Digest 里哪怕错一个字符，都会破坏信任链，可能导致域名下线。
• 迁移 DNS 前先关闭 DNSSEC。 带着残留的 DS 记录迁往新的 DNS 托管方，是让域名下线的经典手法。
• 给它一点时间。 变更完全传播需要几分钟到一天不等。

验证是否生效

DNSSEC 开启后（且任何 DS 记录都已就位），运行本站的免费检测。它会用通俗的语言告诉你 DNSSEC 是否已正确发布并对你的域名受信。

完成了？ 免费检查您的域名 以确认设置已生效——并查看您在全部 34 项检查中的完整评级。