Defaults.Exposed

Defaults.Exposed修復 › DNSSEC

如何修復 DNSSEC

DNSSEC 是給你網域通訊錄蓋的一枚數位封印。它讓網際網路能證明這個網域住在哪裡這個問題的答案確實來自你、且在途中未被篡改。少了它,答案可被偽造——你的訪客就被悄悄送往別處。

對您業務的關鍵影響: 沒有 DNSSEC,一個能投毒 DNS 答覆的攻擊者可以把你的客戶引向一個你網站的完美副本,而他們瀏覽器裡仍顯示著你真實的網域。登入資訊、卡號和個人資料被收割,你直到退款和投訴時才知道。一個半成品、做壞了的 DNSSEC 設定更糟:它會讓你的網站對越來越大一部分訪客無法訪問,而你永遠不會察覺到任何錯誤。

這會讓您付出什麼代價

為什麼它重要。 DNS 是網際網路的通訊錄,而它的答案預設是未簽名地傳輸的——任何能塞進一個偽造答覆的人,都能把你的客戶和郵件隨意引向任何地方,而你真實的網域仍顯示在瀏覽器裡。DNSSEC 給這些答案蓋上一枚防篡改的封印,使其能被驗證為確實來自你。在大多數提供商那裡修復是免費的;唯一真實的代價是做錯了——這正是我們要把兩半都仔細走一遍的原因。

一句話說清 DNSSEC

每當有人訪問你的網站或給你發郵件,他們的電腦都會先向網際網路問一個簡單的問題:這個網域到底住在哪裡?答案——你網站和郵件伺服器的那組地址——由 DNS(網際網路的通訊錄)返回。

令人不安的部分是這樣的:預設情況下,那些答案是未簽名地傳輸的。沒有任何東西附在上面證明這個答案是真的。如果有人能在那場對話裡塞進一個偽造的答覆——而確實存在眾所周知、已被驗證的方式做到這一點——你訪客的電腦就會欣然接受它。從那一刻起,訪客可能正在與一台攻擊者的伺服器對話,而他們的瀏覽器裡仍顯示著你的網域。

DNSSEC 就是修復辦法。它給你的 DNS 答案加上一枚防篡改的數位封印。開啟 DNSSEC 後,網際網路能用數學方法驗證一個答案確實來自你、且在途中未被改動。一個偽造的答覆通不過驗證、被丟棄。這就是一本任何人都能亂塗的通訊錄,和一本每個條目都有簽名、有見證的通訊錄之間的區別。

本頁涵蓋我們的檢查一並查看的兩個部分:封印是否已發布DS 記錄),以及它背後對應的金鑰是否真的存在DNSKEY 記錄)。你很快會看到為什麼兩者都重要——因為只有其一而無其二,本身就是一種麻煩。

這會讓你付出什麼代價

這些是真實、聚合的模式——不指任何一家具名企業。

它實際上是什麼

DNSSEC 以一條信任鏈的方式工作,它有兩個必須彼此吻合的活動部件。這正是我們的檢查要查兩樣東西的核心原因。

**DNSKEY——你的金鑰。**你的 DNS 提供商持有一把加密金鑰,並用它你的 DNS 記錄簽名。那把金鑰的公開半被發布為一條 DNSKEY 記錄。把它想成握在你這一端的封印圖章。

**DS 記錄——為金鑰背書的指紋。**那把金鑰的一段簡短指紋,叫 DS(委派簽名,Delegation Signer)記錄,被發布在上級——在你網域的註冊局處,經由你的註冊商。這正是讓網際網路其餘部分信任你金鑰的東西:每一級為下一級背書,一路向上直到網際網路的根。DS 就是那枚封印被正式登記,好讓其他所有人都能認出它。

要讓 DNSSEC 真正保護你,兩者都必須存在、且必須匹配

一句話概括良好的狀態:你註冊商處有一條 DS 記錄,其指紋與你 DNS 提供商處一把在線的 DNSKEY 匹配,兩者都經一次快速查詢確認。

如何修復(免費,約 10–30 分鐘)

**把這一節交給管理你網域或網站的人。**在大多數提供商那裡修復本身免費——唯一的代價是仔細操作,讓兩半保持同步。只有當你之後想讓我們監控它是否一直正確開啟時,我們才收費。

黃金法則:**先啟用簽名(這會建立 DNSKEY),再在註冊商處發布 DS 記錄——絕不反過來,也絕不只做其一而缺另一。**在金鑰存在之前就發布 DS,正是導致故障的原因。

簡單路徑(推薦——Cloudflare):

  1. 在 Cloudflare 裡,確認確實由 Cloudflare 運行你的 DNS(你的網域名稱伺服器指向 Cloudflare)。
  2. 進入 DNS → Settings → DNSSEC → Enable DNSSEC。Cloudflare 替你產生並管理金鑰(這會自動建立 DNSKEY 那一半)。
  3. Cloudflare 會向你顯示要在註冊商處發布的 DS 記錄詳情。
  4. 登入你的網域註冊商(如 GoDaddy、Namecheap、OVH),找到 DNSSEC 區域。把 Cloudflare 給你的 DS 值貼進去。
  5. 等待 24–48 小時完全傳播。你的網站和信箱全程照常工作。

其他 DNS 提供商(AWS Route 53、你的 Web 主機等):

  1. 在你 DNS 提供商的控制台裡,啟用 DNSSEC / 給此區域簽名。這會產生簽名金鑰並發布 DNSKEY 記錄。
  2. 複製提供商產生的 DS 記錄
  3. 在你的註冊商的 DNSSEC 設定下,添加那條 DS 記錄。
  4. 確認註冊商已接受它,並等待傳播。

平台說明:

驗證它確實生效:

常見錯誤

它在你評分中的位置

這兩項檢查都計入你的 DNS 安全得分。DS 記錄檢查被當作兩者中優先級更高的那個:缺失的 DS 是一個真實的漏洞,被算作失敗。DNSKEY檢查確認信任鏈的其餘部分完好——只有當一條匹配的 DS DNSKEY 都存在時它才通過,並把那個危險的有 DS 無金鑰壞掉狀態標為高嚴重級。一個乾淨的 DNSSEC 乾脆還沒啟用結果,是許多企業常見的起點;從那裡走到一對完整、匹配的 DS + DNSKEY,是一次免費、被充分理解的升級,它提升你的 DNS 安全地位,並消除一條真實的冒充與攔截通道。

在您的託管服務商上完成設置

熱門服務商的分步指引:

常見問題

我不懂技術——這是我必須親自處理的事嗎?

不是。你需要理解它為什麼重要(本頁講了這一點),但實際改動在你網域的 DNS 和註冊商設定裡,所以它歸管理你網域或網站的人。把如何修復一節交給他們——它免費,通常半小時內搞定。只有當你之後想讓我們持續盯著它是否一直正確開啟時,我們才收費。

如果我的網站已經有小鎖(HTTPS),我不是已經受保護了嗎?

它們保護的是不同的東西。小鎖在訪客已經到達正確伺服器之後給連線加密。DNSSEC 保護的是在那之前的一步——確保他們一開始就到達正確的伺服器。一個偽造你 DNS 的攻擊者,可以把訪客送到他自己的伺服器,而那台伺服器在一個相似網域上、甚至在你網域的副本上,也可以有它自己有效的小鎖。你兩者都需要;一個替代不了另一個。

開啟 DNSSEC 會弄壞我的網站或信箱嗎?

由一個支援它的提供商一處完成的話,不會——現代提供商替你管理金鑰,開了就好用。風險來自分成兩個互不相連的步驟、卻只完成一個:在註冊商處發布了公開封印(DS 記錄),而對應的金鑰(DNSKEY)缺失或不匹配。那種壞掉的狀態比沒有 DNSSEC 更糟,會導致間歇性故障。下面的步驟讓兩半保持同步,使這種情況不會發生。

我們用 Cloudflare / Google Workspace / Microsoft 365——這涵蓋了嗎?

並非自動涵蓋,但它讓事情變簡單。要緊的是你的 DNS 在哪裡管理。如果由 Cloudflare 運行你的 DNS,那就是一鍵啟用加在註冊商處貼上一條記錄。Microsoft 365 和 Google Workspace 處理信箱,通常不處理你的 DNS 區域——DNSSEC 在你網域 DNS 記錄實際所在的地方啟用(往往是 Cloudflare、你的註冊商或你的主機)。下面的步驟涵蓋了常見情形。

DS 和 DNSKEY 到底是什麼——為什麼本頁兩者都提?

它們是同一把鎖的兩半。DNSKEY 是你 DNS 提供商持有、用來給你記錄簽名的金鑰。DS 是那把金鑰的指紋,發布在上一級、你的註冊商處,好讓網際網路其餘部分能確認這把金鑰確實是你的。兩者都必須存在、且必須匹配。我們兩者都查:缺 DS 意味著 DNSSEC 沒開;有 DS 卻沒有匹配的 DNSKEY,則意味著開了但壞了。

多久能生效,我怎麼確認?

請預留 24 至 48 小時讓改動在網際網路上完全鋪開;做對了的話,你現有的網站和信箱全程照常工作。要確認,你的 IT 人員可以執行 dig DS yourdomain 和 dig DNSKEY yourdomain,看到兩者都返回記錄,或用任意免費的線上 DNSSEC 檢查器。我們也能持續監控它,讓日後一旦壞掉就在當天被發現,而不是等客戶投訴那天。