具有自定义域名保护功能的 Cloudflare Registrar
最高级别的 Registrar 安全性
Enterprise Plan 提供的针对 Cloudflare Registrar 的自定义域保护通过对 Registrar 帐户的任何更改进行专属带外验证来保护企业免受守护程序劫持。Cloudflare 是 ICANN 认可的 Registrar,可为知名域名提供安全的域名注册。
什么是域名劫持?
域名被劫持实质上是互联网身份盗窃。当访问者进入您的网站、电子邮件、VoIP或任何其他依赖您域名的服务时,您再也无法控制您的访问者查看的内容。这是对组织品牌和声誉的严重威胁。您唯一的追索权是向丟失您域名的注册商进行上诉(如果攻击者设法将域名的控制权转移到新的域名注册商,则向当前管理您的域名的注册商上诉),并希望他们采取正确的行动。如果这样仍然无效,那么您的唯一选择就是向 ICANN 提起法律申诉,此过程可能需要数周乃至数月才会受理。
Cloudflare 构建了一个免费工具,可帮助您检查域和注册商的安全状态。尝试使用它,并用 Cloudflare 安全检查器为您的域评分。
注册管理机构维护全球域名清单。
域名注册商向注册者销售域名,并将域名信息上传到注册管理机构。
注册者通过其域名注册商账户购买和管理域名。
当攻击者损害域名注册商账户并更改与域名相关的域名服务器或其他注册信息时,便会发生域名劫持。注册商若认为更改是授权注册者发起,便会将新信息发送给注册管理机构。
注册管理机构作为所有域名相关域名服务器的权威来源,因此当他们接受来自注册商的变更后,所有传输到该域名的流量将重新传输到新的域名服务器。然后,此新域名服务器便会将访问者发送到攻击者选择的 IP 地址。
注册管理机构的变更应经过身份验证并得到严格验证
所有权和权威域名服务器信息的变更并不常见,而且一旦此种更新没有正确执行,则会造成危险的长期后果。因此,要变更全球域名注册管理机构中的信息应当安全和彻底。
Cloudflare Registrar 正是秉持此考量而设计。域名所有权或域名服务器信息的所有变更都会经过人工验证和执行。
使用自定义域名保护功能确保域名安全
具有自定义域名保护功能的 Cloudflare Registrar 对所有传输请求都遵循严格的变更控制协议。目标就是确保您的域名服务器或注册数据的任何变更均经过您的组织的批准。我们提供下列安全功能:
对所有变更请求进行多用户、线下确认
一贯使用注册商锁定
一贯使用注册管理机构锁定
对所有注册者账户强制执行双因素身份验证
可自定义授权流程
合理性检查
要求进行多重独立线下验证,可以阻止攻击者试图损害线上注册商账户。
许多大众市场注册商支持注册商锁定,这样可以防止注册管理机构更改信息,除非已明确移除该锁定。然而,若攻击者损害了您的注册商账户,他们可以解锁并随意进行任何类型的变更。
注册管理机构锁定比注册商锁定提供更多安全性。在解除锁定之前,它能防止任何注册商(包括您的注册商)进行任何变更。在注册管理机构层面的解锁需要与注册管理机构运营商进行带外通讯,因此只能手动处理。
无需操作性变更
注册管理机构的变更不应与您的操作性 DNS 信息混淆。虽然更改域名服务器和注册信息需要仔细验证,但是更改域名服务器中的记录几乎可以即时完成。
Cloudflare Registrar 无须对您的操作性 DNS 基础设施进行任何变更。您仍可更新 A、AAAA、MX 和所需的所有其他记录,而无需任何额外配置。迁移到 Cloudflare Registrar 时,您的注册管理机构信息可以指向完全相同的域名服务器,唯一的区别是攻击者要更改这些数值将更加困难。
通用 DNSSEC 的分层防御
Cloudflare Registrar 自定义域保护能保护域不会在注册管理机构受到挟持,但它们仍易遭受 DNS 在途攻击。通用 DNSSEC 会通过加密签名验证您的域名的所有 DNS 查询,从而额外增加一层安全防护。若 Cloudflare 同时是域的注册商和 DNS 提供商,则我们就能无缝地提供 DNSSEC 服务。