Cloudflare Registrar 自訂網域保護

最高級別的 Registrar 安全性

適用於 Cloudflare Registrar 的自訂網域保護可用於 Enterprise Plan,對於 Registrar 帳戶的任何變更採用專用的頻外驗證,以保護您的組織免受網域劫持。Cloudflare 是 ICANN 認可的註冊機構,為高知名度的網域名稱提供安全網域名稱註冊。

WHOIS 資料存取請求

registrar diagram domain hijack

什麼是網域劫持?

您的網域被劫持實際上是指網際網路身份被盜用。您不再可以控制訪客在存取您的網站、電子郵件、VoIP 或任何其他依賴您網域名稱的服務時所看到的內容。這會嚴重威脅組織的品牌與商譽。您唯一的追索權是向丟失您網域的註冊機構提出上訴 (如果攻擊者試圖將網域控制權轉移給新的註冊機構,則向目前管理您網域的註冊機構提出上訴),並期待其採取正確的舉措。如果這樣仍無效,那麼您的另外一個唯一選擇是向 ICANN 提起法律訴訟,此過程可能需要數週乃至數月才能處理。

Cloudflare 構建了一個免費工具,可幫助您檢查網域和註冊商的安全狀態。嘗試使用它,並用 Cloudflare 安全性檢查器

為您的網域評分。

  • 各註冊管理機構維護著全球的網域名單。
  • 註冊機構向註冊者銷售網域,並將網域資訊上傳給註冊管理機構。
  • 註冊者透過其註冊機構帳戶購買和管理網域。

當攻擊者竊取註冊機構帳戶並變更名稱伺服器或與網域相關聯的其他註冊資訊時,網域劫持可能發生在註冊機構的層級。而註冊機構若相信此變更來自授權的註冊者,便會將此新資訊傳送至註冊管理機構。

註冊管理機構是與所有網域相關的名稱伺服器的權威來源,因此若他們接受註冊機構的變更之後,通往該網域的所有流量將會重新路由傳送至新的名稱伺服器。結果便是新的名稱伺服器會將訪客送往攻擊者指定的 IP 位址。

註冊管理機構的變更應經過身份驗證並得到嚴格驗證

更新所有權和權威性名稱伺服器資訊的情況並不常見,而且此類更新一旦沒有正確執行,就會造成危險的長期後果。因此,要變更全球網域的註冊資訊應兼顧安全與完整。

Cloudflare Registrar 即是秉持此考量而設計。針對網域所有權或名稱伺服器資訊的所有變更都會經過手動驗證和執行。

具有自訂網域保護的 Cloudflare Registrar

Cloudflare Registrar 的自訂網域保護對所有傳輸請求都遵循嚴格的變更控制通訊協定。目的是確保對您的名稱伺服器或註冊資料所做的任何變更均整體得到您的組織的批准。我們提供以下安全性功能:

-- 多使用者,對所有變更請求的離線確認

  • 一致使用註冊機構鎖定
  • 一致使用註冊管理機構鎖定
  • 對所有註冊人帳戶強制執行雙重驗證⏎-可自訂的授權流程⏎-合理性檢查⏎⏎要求多個獨立的離線驗證來源,阻止了攻擊者試圖入侵線上註冊機構帳戶的嘗試。

許多大型市場的註冊機構皆支援註冊機構鎖定,這樣可防止註冊管理機構更改資訊,除非該鎖定遭到蓄意移除。然而,若攻擊者竊取了您的註冊機構帳戶,它就能解除該鎖定並隨心所欲進行任何類型的變更。

註冊管理機構鎖定比註冊機構鎖定提供了更多的安全性。在解鎖之前,它可以防止任何註冊機構 (包括您的註冊機構) 進行更改。在註冊管理機構層級解鎖需要與註冊管理機構操作員進行頻外通訊,因此大多是手動作業。

無須操作性的變更

註冊管理機構的變更不應與您的操作 DNS 資訊混淆。更改名稱伺服器和註冊資訊要求細心驗證,但更改名稱伺服器中的記錄應該幾乎即時完成。

Cloudflare Registrar 不需要對您的操作 DNS 基礎結構進行任何變更。您仍可更新 A、AAAA、MX 和所有其他必要的記錄,而不需任何額外設定。轉移到 Cloudflare Registrar 時,您的註冊資訊可以指定完全相同的名稱伺服器,唯一的差異只在於攻擊者將更難以變更這些值。

通用 DNSSEC 的分層防禦

Cloudflare Registrar 自訂網域保護能保護網域不會在註冊管理機構受到挾持,但它們仍易受 DNS 中間人攻擊。通用 DNSSEC 會驗證針對您網域的所有 DNS 查詢加密簽章,藉此多添加一層安全性措施。若 Cloudflare 同時為網域的註冊機構和 DNS 提供者,則我們就能無縫地提供 DNSSEC 服務。

切換到 Cloudflare Registrar

如果您的組織管理高價值商標網域,則具有自訂網域保護功能的 Cloudflare Registrar 旨在滿足您獨特的安全性需求。聯繫我們的銷售團隊以了解更多資訊。