網域名稱系統 (DNS) 就如同網際網路的電話簿:這告訴電腦向哪裡發送資訊,以及從哪裡檢索資訊。可惜的是,這也接受網際網路提供的任何位址,而不會進行任何詢問。
電子郵件伺服器使用 DNS 路由郵件,這意味著它們容易受到 DNS 基礎結構的安全性問題影響。2014 年 9 月,CMU 的研究人員發現,本應透過 Yahoo!、Hotmail 和 Gmail 伺服器發送的電子郵件變成透過流氓郵件伺服器發送。攻擊者利用了網域名稱系統(DNS)中一個已存在數十年之久的漏洞,即接受應答前不會檢查憑據。
這個問題的解決方案是一種名為 DNSSEC 的協議。通過提供身份驗證,這種協議在 DNS 之上增加了一個信任層。在某個 DNS 解析器查找 blog.cloudflare.com 時,.com 名稱伺服器幫助解析器驗證針對 cloudflare 傳回的記錄,而 cloudflare 幫助驗證針對 blog 傳回的記錄。根 DNS 名稱伺服器幫助驗證 .com,而根伺服器發佈的資訊將透過一個徹底的安全性程序 (包括「Root-Signing 儀式」) 進行審核。
與 HTTPS 相似,DNSSEC 在原本不安全的通訊協定之上啟用經過身份驗證的答案,因此增加了一層安全性。HTTPS 會對流量進行加密,以便網路上的任何人都無法窺探您的網際網路活動,而 DNSSEC 只是對回應進行簽名,從而偵測偽造回應。DNSSEC 提供了解決實際問題的解決方案,並且無需結合加密。
Cloudflare 的目標是讓啟用 DNSSEC 的過程盡可能輕鬆。現在,擁有 Cloudflare 付費計畫的客戶可以透過以下方式將 DNSSEC 新增到其 Web 資產中:點按開關以啟用 DNSSEC,然後將 DS 記錄 (我們將自動產生) 上傳到其網域名稱註冊商。詳細瞭解如何獲取 DNSSEC。
我們還發佈了一份網際網路草案,概述了註冊管理機構和網域名稱註冊商代表我們的客戶上傳 DS 記錄的一種自動方法。這將使 Cloudflare 能夠為我們的整個客戶社區自動啟用 DNSSEC。請關注最新消息。
在 5 分鐘內建立網域。保留您的代管提供者。無需更改程式碼。