什麼是 DNSSEC?
網域名稱系統安全擴充 (DNSSEC) 是一種先進的 DNS 功能,可藉由在 DNS 資訊中附加電子簽名 (DS) 為網域多加一層安全防護。升級為超豪版 DNS 後,即可至帳戶內啟用 DNSSEC。如果您有使用自行管理 DNSSEC,則可以手動為帳戶新增 DS 記錄。
選擇一個問題即可看到答案:
- 什麼是 DNSSEC?
- 為什麼我啟用 DNSSEC 之後,網站就無法解析了?
- 我該如何啟用 DNSSEC 並簽署我的區域?
- 我該如何知道我要求的網址是否支援 DNSSEC?
- 既然 DNSSEC 可以讓網際網路更安全,為什麼有人不用呢?
- 有任何不該使用 DNSSEC 的理由嗎?
什麼是 DNSSEC?
網域名稱系統安全性擴充 (DNSSEC) 可為網域名稱的 DNS (網域名稱系統) 加上電子簽名,藉此判斷來源網路名稱的真實性。此功能可以保護網路使用者不受假造 DNS 資料的威脅,讓使用者要求正確網址時不會取得其他有意誤導或惡意製作的網址。
啟用 DNSSEC 後,DNS 查閱會使用電子簽名驗證網站 DNS 來源是否有效,這樣做可以協助防止受到特定類型的攻擊,而當電子簽名不一致的時候,瀏覽器便不會顯示網站。
為什麼我啟用 DNSSEC 之後,網站就無法解析了?
您在 DS (簽名宣告) 記錄內儲存的電子簽名,必須和您網域名稱伺服器所產生的電子簽名一致,若兩者不一致,網域便無法解析為網站。請仔細檢查您輸入的 DS 記錄資訊,並比對名稱伺服器中儲存的區域記錄,藉此確認兩者相符。
我該如何啟用 DNSSEC 並簽署我的區域?
GoDaddy 可透過超豪版 DNS 提供 DNSSEC 全方位託管服務。如果您的網域使用的是 GoDaddy 名稱伺服器,則可以為網域啟用 DNSSEC,我們會代您處理區域簽署程序。
如果您的網域是透過 GoDaddy 註冊,但並非使用 GoDaddy 名稱伺服器,則需透過您的 DNS 提供商設定自行管理 DNSSEC。您需要先建立數位私人金鑰和公開金鑰,並在網域簽署程序中產生簽名宣告記錄。相關規範及限制可能會由於網域的註冊處及 DNS 提供商不同而有變化,請向您的 DNS 提供商詢問進一步的資訊,或改為使用 GoDaddy 名稱伺服器及超豪版 DNS,即可透過我們啟用全方位託管 DNSSEC。
我該如何知道我要求的網址是否支援 DNSSEC?
如果支援 DNSSEC 的網址發生驗證問題,您便會收到網站不存在的訊息。
很不巧的是,目前的瀏覽器設定還無法辨識 DNSSEC。不像 SSL 保護網站後會顯示掛鎖圖示,進入由 DNSSEC 保護的網站時並不會顯示任何看得到的通知。
既然 DNSSEC 可以讓網路更安全,為什麼有人不用呢?
讓整個網路世界接受使用 DNSSEC 並不是一件易事,這需要全球的一番努力,並要有共識,而且通常也需要花費一筆不小的金錢。目前使用情形正在穩定成長中,從每個網域名稱後綴及該網域的註冊處開始慢慢做起。在後綴都漸漸開始支援 DNSSEC 後,我們也會為透過我們註冊的網域名稱提供支援。
有任何不該使用 DNSSEC 的理由嗎?
雖然所有網域都沒有絕對不該使用 DNSSEC 的理由,但是某些情況下較不推薦使用 DNSSEC。DNSSEC 需處理較大量的資訊,也會因此降低網站效能,也會讓 DNS 較脆弱,並稍微提高處理失敗的可能性。
不過,對需要保護寶貴資料的人來說,這些潛藏風險都是小問題,而啟用 DNSSEC 卻非常有幫助。如果您不常碰到惡意攻擊,不會收集敏感資料,而且也不是知名人物 (如政治人物等),則建議您無需使用 DNSSEC。
相關步驟
- 升級為超豪版 DNS 並啟用 DNSSEC 即可享受我們的 DNSSEC 全方位託管服務。
- 如為自行管理 DNSSEC,請為您的網域新增 DS 記錄。
