Defaults.Exposed

Defaults.Exposed › 設置 › DNSSEC

如何在 GoDaddy 上設定 DNSSEC

在 GoDaddy 中一鍵開啟 DNSSEC,讓任何人都無法偽造你的 DNS 應答、劫持你的網域。

這對你的業務意味著什麼

當有人訪問你的網站或給你傳送郵件時,他們的電腦會先向 DNS 系統詢問正確的地址。這些應答通常未經簽章傳輸,因此能夠篡改查詢的攻擊者可以悄悄把你的訪客引向假冒網站,或把你的郵件改道到他自己的伺服器上——而地址列裡始終顯示著你真實的網域。

DNSSEC 能阻止這一點。它用密碼學方式為你的 DNS 應答簽章,於是任何查詢你的人都能證明應答確實來自你、且在途中未被篡改。說得直白一點:它能擋住網域劫持和快取投毒——這些正是把你自己的網域變成對付客戶的武器的攻擊。它免費,而在 GoDaddy 上通常只需撥動一個開關。

DNSSEC 的工作原理(以及為什麼 GoDaddy 在這裡很省事)

DNSSEC 分兩半:DNS 託管方為你的記錄簽章,並發布金鑰(一條 DNSKEY)以及一個被稱為 DS 記錄的小型指紋;註冊商則把這條 DS 記錄登記到上層區域,讓網際網路的其餘部分得以信任這些簽章。

當 GoDaddy 同時是你的註冊商和 DNS 託管方時——對大多數使用 GoDaddy 網域伺服器的 GoDaddy 網域來說正是如此——GoDaddy 會替你完成這兩半。你撥動一個開關;GoDaddy 自動生成金鑰並把 DS 記錄登記到信任鏈上。無需在兩個系統之間複製貼上任何值。

真正的風險——什麼時候沒那麼簡單

設定錯誤時,DNSSEC 可能讓你的網域徹底下線。這種危險主要出現在註冊商和 DNS 託管方是不同公司時,或在你遷移 DNS 託管方時:

如果 GoDaddy 既是註冊商又是 DNS 託管方,下面的一鍵流程是安全的。

先確認 GoDaddy 在為你解析 DNS

這只在 GoDaddy 確實負責回應你網域的 DNS 時才有意義。確認你的網域使用的是 GoDaddy 網域伺服器:在 GoDaddy 帳戶中打開網域,查看它的**網域伺服器(Nameservers)**設定。如果顯示的是 GoDaddy 自己的網域伺服器,那麼一鍵開關就是正確路徑。如果網域伺服器指向另一家服務商(例如單獨的 DNS 託管方),請在那家服務商處啟用 DNSSEC,然後把它給你的 DS 記錄新增到 GoDaddy。

GoDaddy 上的操作步驟(一鍵,GoDaddy 既是註冊商又是 DNS 託管方)

  1. 登入你的 GoDaddy 帳戶。
  2. 進入我的產品(My Products)(或網域組合 Domain Portfolio)。
  3. 找到你的網域,打開它的管理頁面——點擊網域或三點選單,選擇 Manage DNS / Domain Settings
  4. 滾動到 Additional Settings(附加設定)區域(在某些帳戶中它出現在 DNS Management 下)。
  5. 找到 DNSSEC,點擊 Manage 或開關。
  6. DNSSEC 切換為開(on)
  7. 確認。GoDaddy 會生成金鑰、為你的區域簽章,並替你把 DS 記錄發布到信任鏈上——沒有任何東西需要複製到別處。

當你的 DNS 託管在別處時的操作步驟

如果 GoDaddy 只是你的註冊商,而另一家公司託管你的 DNS:

  1. 先在你的 DNS 託管方處啟用 DNSSEC,並複製它生成的 DS 記錄(你會用到 Key TagAlgorithmDigest TypeDigest)。
  2. 在 GoDaddy 中打開網域,在 Additional Settings 下找到 DNSSEC 區域。
  3. 選擇**新增(add)**一條 DS 記錄,把你 DNS 託管方給的值原樣填入。
  4. 儲存。DS 記錄現已登記到上層區域,信任鏈完成。

GoDaddy 上人們常踩的坑

驗證是否生效

DNSSEC 開啟後(且任何 DS 記錄都已就位),執行本站的免費檢測。它會用淺顯易懂的語言告訴你 DNSSEC 是否已正確發布並對你的網域受信。

完成了? 免費檢查您的網域 以確認設置已生效——並查看您在全部 34 項檢查中的完整評級。