什麼是 DNSSEC?
DNSSEC 是一種進階的 DNS 功能,能夠為 DNS 提供另一層安全保障。您的 GoDaddy 帳戶將會獲得 5 點免費 DNSSEC 點數,這些點數可以套用到任何使用 GoDaddy 名稱伺服器的網域。如果想保護更多網域,您可以升級為超豪版 DNS,就能額外獲得 DNSSEC 點數。
選擇一個問題即可看到答案:
- 什麼是 DNSSEC?
- 為什麼 DNSSEC 很重要?
- DNSSEC 如何運作?
- 我該如何為網域啟用 DNSSEC?
- 使用 DNSSEC 有什麼好處?
- DNSSEC 有什麼限制?
- DNSSEC 如何影響 DNS 效能?
- 如何檢查網域上的 DNSSEC 是否已正確安裝和設定?
- 如何疑難排解 DNSSEC 問題?
- 我的網站或組織一定要使用 DNSSEC 嗎?
- 為什麼有些人並未使用 DNSSEC?
什麼是 DNSSEC?
DNSSEC 代表網域名稱系統安全性擴充 (Domain Name System Security Extensions)。這是一種安全性協定,可以加強保護網域名稱系統 (DNS),也就是網際網路的聯絡人清單。DNSSEC 會以數位方式簽署 DNS 記錄,確保這些記錄在傳輸過程並未經過竄改或偽造。DNSSEC 能夠協助防止網路犯罪分子將網際網路流量重新導向到網路釣魚網站等有惡意內容的網站。
為什麼 DNSSEC 很重要?
DNSSEC 能夠協助確保 DNS 的完整性和真實性。少了 DNSSEC 的保護,網路犯罪分子便能藉由控制 DNS 記錄將網際網路流量重新導向到惡意網站,並藉此造成身分盜竊、財務損失或其他網路犯罪。DNSSEC 能夠協助預防發生這類攻擊,讓大家使用網際網路時都能有更安全的體驗。
DNSSEC 如何運作?
DNSSEC 以金鑰為 DNS 記錄進行數位簽署。這些金鑰能在 DNS 系統當中建立信任鏈,確保使用的 DNS 記錄和名稱伺服器內的網域區域檔案提供的 DNS 相符。
我該如何為網域開啟 DNSSEC?
如果您的網域使用的是 GoDaddy 名稱伺服器,即可為網域啟用 DNSSEC,我們會代您處理區域簽署程序。您的 GoDaddy 帳戶將會獲得 5 點免費 DNSSEC 點數,這些點數可以套用到任何使用 GoDaddy 名稱伺服器的網域。如果想保護更多網域,您可以升級為超豪版 DNS,就能額外獲得 DNSSEC 點數。
如果您的網域並非使用 GoDaddy 名稱伺服器,則需透過 DNS 提供商設定 DNSSEC。相關規範及限制可能會由於網域的註冊處及 DNS 提供商不同而有變化。請洽 DNS 提供商瞭解詳情,設定 DNSSEC 之後,您可以手動為透過 GoDaddy 註冊的網域新增 DS 記錄。
使用 DNSSEC 有什麼好處?
DNSSEC 能夠提昇安全性和隱私保護,也更能防範網路攻擊。經過數位簽署的 DNS 記錄能夠防止發生 DNS 詐騙、快取破壞等各種 DNS 攻擊。這項程序能夠確定網際網路使用者重新導向至正確的網站,且資料受到保護。DNSSEC 還能協助防止第三方操作 DNS 查詢,更能保護您的隱私。
DNSSEC 有什麼限制?
DNSSEC 的限制包括較為複雜的使用方式、更高的資源需求,還有部份 DNS 提供商能提供的支援有限。若想使用 DNSSEC,就必須加裝更多基礎架構,如金鑰管理功能,對資源有限的小型組織來說可能並不容易。部份 DNS 提供商並不支援 DNSSEC,也讓效果大打折扣。
DNSSEC 如何影響 DNS 效能?
DNSSEC 需要透過額外步驟驗證 DNS 記錄,因此需要更長的處理時間,並產生更多網路負荷,也會因此加長 DNS 的解析時間。簽署 DNS 記錄的尺寸越大,就會增加網路流量,導致下載時間更長。這些效能影響通常十分輕微,和增強安全性的好處相比不足為道。
如何檢查網域上的 DNSSEC 是否已正確安裝和設定?
您可以利用網路工具檢查網域目前的 DNSSEC 狀態,這類工具包括 DNSViz、Verisign DNSSEC Debugger 和 ZoneCheck。輸入您想檢查的網域,並等候工具產生報告。報告將會說明網域是否已啟用 DNSSEC。如果 DNSSEC 已經啟用,報告便會顯示 DNSSEC 金鑰和網域簽署內容的資訊。
和 SSL 安全網站會顯示掛鎖圖示不同,設有 DNSSEC 防護的網站不會顯示任何跡象。大部分的情形下,您不會發現某個網站有啟用 DNSSEC。如果發生問題,而 DNS 無法正確解析,我們會傳送含有更詳細資訊的訊息給您。
如何疑難排解 DNSSEC 問題?
大多 DNSSEC 問題都和網域名稱伺服器內儲存的電子簽名有關。如果 DS 記錄不符這些電子簽名,網域便無法正確解析。
如果您使用的是 GoDaddy 名稱伺服器,我們會代替您確定電子簽名和 DS 記錄設定正確無誤。如果您並非使用 GoDaddy 名稱伺服器,則需要自行透過您當初設定 DNSSEC 的 DNS 提供商檢查設定。
我的網站或組織一定要使用 DNSSEC 嗎?
並非所有網站或組織都一定要使用 DNSSEC,但是我們強烈推薦需要處理敏感資訊,或具有高度遭受網路攻擊風險的網站使用 DNSSEC。DNSSEC 能夠協助維持 DNS 的完整性和真實性,如果您的組織需要處理金融交易、醫療記錄或其他敏感資料,那麼這點就特別重要。部份業界或國家/地區可能會制定特定法規,並強制使用 DNSSEC。
為什麼有些人並未使用 DNSSEC?
這需要全球的一番努力,並要有共識,而且通常也需要花費一筆不小的金錢。目前使用情形正在穩定成長中,從每個網域名稱後綴及該網域的註冊處開始慢慢做起。在後綴都漸漸開始支援 DNSSEC 後,我們也會為透過 GoDaddy 註冊的網域名稱提供支援。
相關步驟
- 為 GoDaddy 帳戶新增超豪版 DNS
- 如果您的網域並未使用 GoDaddy 的名稱伺服器,則可手動為網域新增 DS 記錄。