Defaults.Exposed › 设置 › DNSSEC

如何在 Namecheap 上设置 DNSSEC

在 Namecheap 中启用 DNSSEC，让任何人都无法伪造你的 DNS 应答、把你的访客或邮件改道。

这对你的业务意味着什么

每当有人打开你的网站或给你发邮件，他们的电脑都会向 DNS 系统询问到哪里找你。这些应答通常未经签名传输，因此能够干扰查询的攻击者可以悄悄把你的访客送往仿冒网站，或把你的邮件改道到他自己的服务器上——而地址栏里始终显示着你真正的域名。

DNSSEC 把这扇门关上。它用密码学方式为你的 DNS 应答签名，于是任何查询你的人都能确认应答确实来自你、且一路上未被篡改。说得直白一点：它能防止域名劫持和缓存投毒——这些正是把你自己的域名变成对付客户的武器的攻击。它免费，而当 Namecheap 负责你的 DNS 时，几乎只需一键。

DNSSEC 的工作原理（以及为什么 Namecheap 可以很简单）

DNSSEC 分两半：DNS 托管方为你的记录签名，并发布密钥（一条 DNSKEY）以及一个被称为 DS 记录的小型指纹；注册商则把这条 DS 记录登记到父级区域，让互联网的其余部分信任这些签名。

当 Namecheap 同时是你的注册商和 DNS 托管方时——也就是你的域名使用 Namecheap BasicDNS / PremiumDNS——Namecheap 用一个开关就处理好这两半。它为区域签名，并替你把 DS 记录发布到信任链上。当你的 DNS 托管在别处时，你则需手动把那家托管方的 DS 记录复制到 Namecheap。

真正的风险——请按顺序操作

设置错误时，DNSSEC 可能让你的域名下线。这种情况有两种成因：

• 登记在注册商处的 DS 记录与 DNS 托管方实际签名所用的密钥不匹配。
• 在没有先移除 DS 记录的情况下，就把 DNS 迁往另一家托管方（或关闭签名）——残留的 DS 记录会继续索要早已不存在的签名，导致查询失败。

所以：如果你要把 DNS 从 Namecheap 迁走、或不再用 Namecheap 的域名服务器，请先关闭 DNSSEC 并清除 DS 记录，再迁移。 按下面的流程依序操作即可保证安全。

先确认 Namecheap 在为你解析 DNS

查看是什么在回应你域名的 DNS。在 Namecheap 账户中打开域名，在 Domain 标签页查看**域名服务器（Nameservers）**设置：

• 如果它设为 Namecheap BasicDNS 或 Namecheap Web Hosting DNS / PremiumDNS，则 Namecheap 托管你的 DNS——使用一键流程。
• 如果它显示为指向另一家服务商的 Custom DNS，则那家服务商托管你的 DNS——先在那里启用 DNSSEC，然后把它给你的 DS 记录添加到 Namecheap。

Namecheap 上的操作步骤（Namecheap 既是注册商又是 DNS 托管方）

1. 登录 Namecheap。
2. 进入域名列表（Domain List），在你的域名旁点击 Manage。
3. 打开 Advanced DNS 标签页。
4. 滚动到 DNSSEC 区域。
5. 把 DNSSEC 切换为开（on）。
6. 确认。使用 Namecheap 自己的 DNS 时，Namecheap 会为区域签名并替你把 DS 记录发布到信任链上——没有任何东西需要复制到别处。

当你的 DNS 托管在别处时的操作步骤

如果 Namecheap 是你的注册商，但另一家公司托管你的 DNS：

1. 先在你的 DNS 托管方处启用 DNSSEC，并复制它生成的 DS 记录值——通常包括 Key Tag、Algorithm、Digest Type 和 Digest。
2. 在 Namecheap 中打开域名，进入 Advanced DNS 标签页，再到 DNSSEC 区域。
3. 添加一条 DS 记录，把你 DNS 托管方给的值原样填入对应字段。
4. 保存。DS 记录现已登记到父级区域，信任链完成。

Namecheap 上人们常踩的坑

• 只有 Namecheap 同时托管你的 DNS 时，这个开关才能把一切做完。 在 Custom DNS 模式下，光拨动它是不够的——你必须把来自真正 DNS 托管方的 DS 记录粘贴进来。
• 不要重复签名。 如果你的外部 DNS 托管方已经为区域签名，那么你在 Namecheap 处只需填入它的 DS 记录——不要再启用 Namecheap 自己的签名。
• DS 值要逐字符复制。 Digest 里哪怕错一位，DS 都会与签名不匹配，而这正是导致域名下线的原因。请粘贴，绝不要手敲。
• 算法和摘要类型的数字要与你 DNS 托管方报告的一致——不要猜。
• 更改域名服务器前先关闭 DNSSEC。 带着残留的 DS 记录切换 DNS 托管方，是让域名下线的经典手法。
• 给它一点时间。 变更完全传播需要几分钟到一天不等。

验证是否生效

DNSSEC 开启后（且任何 DS 记录都已就位），运行本站的免费检测。它会用通俗的语言告诉你 DNSSEC 是否已正确发布并对你的域名受信。

完成了？ 免费检查您的域名 以确认设置已生效——并查看您在全部 34 项检查中的完整评级。