Defaults.Exposed

Defaults.Exposed › 設置 › DNSSEC

如何在 Namecheap 上設定 DNSSEC

在 Namecheap 中啟用 DNSSEC,讓任何人都無法偽造你的 DNS 應答、把你的訪客或郵件改道。

這對你的業務意味著什麼

每當有人打開你的網站或給你傳送郵件,他們的電腦都會向 DNS 系統詢問到哪裡找你。這些應答通常未經簽章傳輸,因此能夠干擾查詢的攻擊者可以悄悄把你的訪客送往仿冒網站,或把你的郵件改道到他自己的伺服器上——而地址列裡始終顯示著你真正的網域。

DNSSEC 把這扇門關上。它用密碼學方式為你的 DNS 應答簽章,於是任何查詢你的人都能確認應答確實來自你、且一路上未被篡改。說得直白一點:它能防止網域劫持和快取投毒——這些正是把你自己的網域變成對付客戶的武器的攻擊。它免費,而當 Namecheap 負責你的 DNS 時,幾乎只需一鍵。

DNSSEC 的工作原理(以及為什麼 Namecheap 可以很簡單)

DNSSEC 分兩半:DNS 託管方為你的記錄簽章,並發布金鑰(一條 DNSKEY)以及一個被稱為 DS 記錄的小型指紋;註冊商則把這條 DS 記錄登記到上層區域,讓網際網路的其餘部分信任這些簽章。

當 Namecheap 同時是你的註冊商和 DNS 託管方時——也就是你的網域使用 Namecheap BasicDNS / PremiumDNS——Namecheap 用一個開關就處理好這兩半。它為區域簽章,並替你把 DS 記錄發布到信任鏈上。當你的 DNS 託管在別處時,你則需手動把那家託管方的 DS 記錄複製到 Namecheap。

真正的風險——請按順序操作

設定錯誤時,DNSSEC 可能讓你的網域下線。這種情況有兩種成因:

所以:如果你要把 DNS 從 Namecheap 遷走、或不再用 Namecheap 的網域伺服器,請先關閉 DNSSEC 並清除 DS 記錄,再遷移。 按下面的流程依序操作即可保證安全。

先確認 Namecheap 在為你解析 DNS

查看是什麼在回應你網域的 DNS。在 Namecheap 帳戶中打開網域,在 Domain 標籤頁查看**網域伺服器(Nameservers)**設定:

Namecheap 上的操作步驟(Namecheap 既是註冊商又是 DNS 託管方)

  1. 登入 Namecheap。
  2. 進入網域列表(Domain List),在你的網域旁點擊 Manage
  3. 打開 Advanced DNS 標籤頁。
  4. 滾動到 DNSSEC 區域。
  5. DNSSEC 切換為開(on)
  6. 確認。使用 Namecheap 自己的 DNS 時,Namecheap 會為區域簽章並替你把 DS 記錄發布到信任鏈上——沒有任何東西需要複製到別處。

當你的 DNS 託管在別處時的操作步驟

如果 Namecheap 是你的註冊商,但另一家公司託管你的 DNS:

  1. 先在你的 DNS 託管方處啟用 DNSSEC,並複製它生成的 DS 記錄值——通常包括 Key TagAlgorithmDigest TypeDigest
  2. 在 Namecheap 中打開網域,進入 Advanced DNS 標籤頁,再到 DNSSEC 區域。
  3. 新增一條 DS 記錄,把你 DNS 託管方給的值原樣填入對應欄位。
  4. 儲存。DS 記錄現已登記到上層區域,信任鏈完成。

Namecheap 上人們常踩的坑

驗證是否生效

DNSSEC 開啟後(且任何 DS 記錄都已就位),執行本站的免費檢測。它會用淺顯易懂的語言告訴你 DNSSEC 是否已正確發布並對你的網域受信。

完成了? 免費檢查您的網域 以確認設置已生效——並查看您在全部 34 項檢查中的完整評級。