Cloudflare Registrar 自訂網域保護
最高級別的 Registrar 安全性
適用於 Cloudflare Registrar 的自訂網域保護可用於 Enterprise 方案,對於 Registrar 帳戶的任何變更採用專用的頻外驗證,以保護您的組織免受網域劫持。Cloudflare 是 ICANN 認可的註冊機構,為高知名度的網域名稱提供安全網域名稱註冊。
什麼是網域劫持?
您的網域被劫持實際上是指網際網路身份被盜用。您不再可以控制訪客在存取您的網站、電子郵件、VoIP 或任何其他依賴您網域名稱的服務時所看到的內容。這會嚴重威脅組織的品牌與商譽。您唯一的追索權是向丟失您網域的註冊機構提出上訴 (如果攻擊者試圖將網域控制權轉移給新的註冊機構,則向目前管理您網域的註冊機構提出上訴),並期待其採取正確的舉措。如果這樣仍無效,那麼您的另外一個唯一選擇是向 ICANN 提起法律訴訟,此過程可能需要數週乃至數月才能處理。
Cloudflare 構建了一個免費工具,可幫助您檢查網域和註冊商的安全狀態。嘗試使用它,並用 Cloudflare 安全性檢查器為您的網域評分。
各註冊管理機構維護著全球的網域名單。
Registrar 向註冊者銷售網域,並將網域資訊上傳給註冊管理機構。
註冊者透過其 registrar 帳戶購買和管理網域。
當攻擊者竊取 registrar 帳戶並變更名稱伺服器或與網域相關聯的其他註冊資訊時,網域劫持可能發生在 registrar 的層級。而 registrar 若相信此變更來自授權的註冊者,便會將此新資訊傳送至註冊管理機構。
註冊管理機構是與所有網域相關的名稱伺服器的權威來源,因此若他們接受 registrar 的變更之後,通往該網域的所有流量將會重新路由傳送至新的名稱伺服器。結果便是新的名稱伺服器會將訪客送往攻擊者指定的 IP 位址。
註冊管理機構的變更應經過身份驗證並得到嚴格驗證
更新所有權和權威性名稱伺服器資訊的情況並不常見,而且此類更新一旦沒有正確執行,就會造成危險的長期後果。因此,要變更全球網域的註冊資訊應兼顧安全性與完整性。
Cloudflare Registrar 即是秉持此考量而設計。針對網域所有權或名稱伺服器資訊的所有變更都會經過手動驗證和執行。
具有自訂網域保護的 Cloudflare Registrar
Cloudflare Registrar 的自訂網域保護對所有傳輸請求都遵循嚴格的變更控制通訊協定。目的是確保對您的名稱伺服器或註冊資料所做的任何變更均整體得到您的組織的批准。我們提供下列安全功能:
針對所有變更要求的多使用者離線確認
統一使用 registrar 鎖定
統一使用註冊管理機構鎖定
對所有註冊者帳戶強制執行雙重驗證
可自訂的授權程序
合理性的檢查
需要多重的獨立離線驗證來源,以阻斷攻擊者試圖入侵線上的 registrar 帳戶。
許多大型市場的 registrar 皆支援 registrar 鎖定,這樣可防止註冊管理機構更改資訊,除非該鎖定遭到蓄意移除。然而,若攻擊者竊取了您的 registrar 帳戶,它就能解除該鎖定並隨心所欲進行任何類型的變更。
註冊管理機構鎖定比 registrar 鎖定能提供更高的安全性。在解除鎖定之前,它能防止 registrar (包括您的 registrar) 進行任何變更。註冊管理機構層級的解除鎖定需要與註冊管理機構操作者進行頻外通訊,因此難以自動化處理,只能手動。
無須操作性的變更
註冊管理機構的變更不應與您的操作 DNS 資訊混淆。更改名稱伺服器和註冊資訊要求細心驗證,但更改名稱伺服器中的記錄應該幾乎即時完成。
Cloudflare Registrar 不需要對您操作的 DNS 基礎結構進行任何變更。您仍可更新 A、AAAA、MX 和必要的所有其他記錄,而不需任何額外設定。轉移到 Cloudflare Registrar 時,您的註冊資訊可以指定完全相同的名稱伺服器,唯一的差異只在於攻擊者將更難以變更這些值。
通用 DNSSEC 的分層防禦
Cloudflare Registrar 自訂網域保護能保護網域不會在註冊管理機構受到挾持,但它們仍易受 DNS 在途攻擊。通用 DNSSEC 會驗證針對您網域的所有 DNS 查詢加密簽章,藉此多添加一層安全性措施。若 Cloudflare 同時為網域的註冊機構和 DNS 提供者,則我們就能無縫地提供 DNSSEC 服務。