适用于注册服务机构的 DNSSEC

Cloudflare 很高兴能通过大规模部署我们最近实施的 DNSSEC，使互联网更加安全。Cloudflare Universal DNSSEC 为原本不安全的 DNS 提供认证，防止中间人攻击，并让访问者确信他们的连接被安全地传送到正确的服务器。

因为 DNSSEC 中的信任是自上而下的（根区域验证 .com 区域， .com 区域验证 cloudflare.com 区域，以此类推），启用 DNSSEC 需要网站所有者作为注册服务机构的您更新 DS 记录。

这一部分容易出现问题——复制和粘贴 DS 记录有可能出现人为错误，并为不那么专业的用户增加了一层复杂性。我们希望使 DNSSEC 尽可能地易于部署。

如果 Cloudflare 能与注册服务机构或注册管理机构直接沟通，我们就能为 Cloudflare 上的每个网站自动激活 DNSSEC，并管理它们的密钥，而无需人工干预。

作为我们 DNSSEC 部署的一部分，我们与 .ca 注册管理机构 CIRA 一起发布了一份互联网草案，提出了一项协议，让像 Cloudflare 这样的 DNS 运营商能做到这一点：与注册服务机构和注册管理机构沟通，以实现 DNSSEC 管理的自动化。