因腾讯云和 Cloudflare 对于 DNSSEC 相关信息和设置的描述可能不太相同,本文将这些信息一一对应,使得用户可以快速添加 Cloudflare DNSSEC 服务到注册在腾讯云的域名上。
DNSSEC 可抵御伪造的 DNS 应答。受 DNSSEC 保护的区域将通过密码进行签名,以确保收到的 DNS 记录与域所有者发布的 DNS 记录相同。——引用自Cloudflare设置页面。
DNSSEC(DNS 安全扩展)提供了来源鉴定和数据完整性的扩展,有助于防止 DNS 缓存污染等恶意行为。该扩展协议需要 DNS 解析服务商支持并进行设置,请确保您已了解该功能再开始使用。——引用自腾讯云说明。
启用 Cloudflare 提供的 DNSSEC 服务前需要将域名的 DNS 服务器转移至 Cloudflare 。
打开Cloudflare控制台 ,点击左侧网站,点击对应域名,DNS,下拉找到DNSSEC,点击右侧蓝色按钮设置,记录弹窗中的信息但不要关闭窗口。
打开腾讯云 - 我的域名 ,点击对应域名,域名安全,DNSSEC设置右侧的管理,添加 DNSSEC。
记录的对应关系如下:
| Cloudflare描述 | 腾讯云描述 |
| 密钥标记 | 关键标签 |
| 算法 | 加密算法 |
| 摘要类型 - 2 | 摘要类型 |
| 摘要 | 摘要 |
其中算法和加密算法的对应关系如下:
| 算法 | 加密算法 |
| 1 | RSA/MD5 |
| 3 | DSA/SHA1 |
| 5 | RSA/SHA-1 |
| 7 | RSASHA1-NSEC3-SHA1 |
| 8 | RSA/SHA-256 |
| 10 | RSA/SHA-512 |
| 13 | ECDSA Curve P-256 with SHA-256 |
完成
回到 Cloudflare 检查设置是否生效即可。
请注意在等待 DS 添加到注册机构时,DNSSEC 处于挂起状态。此过程通常需要十分钟,但最长可能需要一小时。
在腾讯云为域名启用DNSSEC安全扩展
ECDSA: The missing piece of DNSSEC