Cloudflare 可以免费部署 DNSSEC 了

2015-11-13 12:16:17 +08:00
 alect
收到邮件:
CloudFlare ’ s mission is to make the web more secure. That ’ s why we spent the last two years working on Universal DNSSEC. With just a few clicks, you can now protect your domain name from DNS cache poisoning and man-in-the-middle attacks at no extra cost. All you need to do is upload one DNS record to your registrar.

If you care about the integrity and reputation of your brand, you should learn more about how DNSSEC helps prevent domain hijacking.

https://www.cloudflare.com/dnssec/
5547 次点击
所在节点    分享发现
17 条回复
lhbc
2015-11-13 12:19:35 +08:00
被某墙污染的能解决?
alect
2015-11-13 12:59:57 +08:00
@lhbc 然而很多国内 DNS 服务器并不支持 dnssec 。。。然并卵
bestsanmao
2015-11-13 13:04:24 +08:00

已经 enable dnssec 了
kmahyyg
2015-11-13 13:19:09 +08:00
怎么弄?有啥用?
Eleutherios
2015-11-14 07:22:24 +08:00
印象里 DNSSEC 之于 DNS 就像 HTTPS 之于 HTTP 。

@alect 国内的不行好歹还有国外的,然而大部分客户端大都不支持 DNSSEC …然并卵
hotbaidu
2015-11-15 19:17:19 +08:00
国内 Public DNS 目前只有百度跟 CNNIC 支援 DNSSEC 验证
20140930
2015-11-16 10:47:44 +08:00
@johnjiang85 域名的 dns 支持了 dnssec 。 http://blog.dnspod.cn/tag/dnssec/
公共的 119.29.29.29 dns 什么时候支持?
johnjiang85
2015-11-16 18:04:04 +08:00
@20140930 谢谢支持
DNSPod 的授权解析很之前是使用的开源解析程序的二次开发版,并对 DNSSEC 进行了支持,但是因为该功能基本无任何意义(递归都不支持),且大量消耗服务器资源,所以在之后的自研解析程序中以及官网升级中,并未对 DNSSEC 进行直接支持,目前 DNSPod 官网中也都去掉了支持 DNSSEC 的描述。
但是随着这几年的发展, DNSSEC 有了一定程度(虽然很小)的增长,我们也在讨论重新支持 DNSSEC 的可行性和必要性(主要是我们自己也推出了公共 DNS ),目前来看时机尚未完全成熟,主要的原因除了 5 楼说的大部分客户端不支持外,还有一个很重要的原因是目前国内针对 DNS 的攻击非常严重,而如果要支持 DNSSEC ,势必造成解析服务器消耗资源过多,严重影响解析服务器的性能,应答包太大容易被用于反射放大攻击等等问题。
现在 DNSPod 对于支持 DNSSEC 并没有具体的安排,但是不排除在 2016 年进行支持的可能,如果决定要进行支持的话,我们会在授权 DNS 和公共 DNS 进行同时支持,解决我们能决绝的这一部分问题。
由于支持 DNSSEC 来解决 DNS 劫持问题,需要非常多的依赖,并存在很多问题,一直未进行支持。但是我们 15 年推出了 D+(HttpDNS )的解决方案,虽然大多数时候只能解决 app(客户端)的 DNS 劫持问题,但是相比于 DNSSEC 的可行性还是高不少,而且今后移动互联网毕竟是大势所趋,并且移动互联网的 DNS 劫持问题比 PC 时代更严重一些。
ghost444
2017-01-17 03:02:11 +08:00
@johnjiang85 2017 了…
johnjiang85
2017-01-17 10:15:54 +08:00
@ghost444 目前还没有支持 DNSSEC 的计划...
yryz
2017-07-12 14:50:45 +08:00
@johnjiang85 为什么不考虑支持 DNSSEC 呢,是有什么障碍吗。 目前有几项关于 HTTPS 安全的 RFC 规范都需要 DNSSEC 做支撑。

CAA 这个解析记录也是,我看国内都不支持。
johnjiang85
2017-07-12 16:36:49 +08:00
@yryz 目前还没有任何计划去支持 DNSSEC,怎么说呢,最主要的还是付出收益比是否值得去做,有比较高的收益,或者不支持 DNSSEC 会导致非常严重的后果,是会去做的。
比如 CAA 吧,其实 DNSPod 从 lets encrypt 之后会响应 CAA 类型了(当然控制台依然是不支持的),但是直接返回 SOA,以便通过 lets encrypt 的校验,在之前 CAA 类型包括其他任何不支持的类型,都是直接过滤丢包的,现在的网络环境 DDoS 的攻击太多就要求安全防护规则都要从严。
geekzu
2017-10-16 14:44:30 +08:00
@johnjiang85 你好,看起来你是 DNSPod 的官方人员,想反馈一下,DNSPod 国际版仍会丢弃 CAA 查询,本人一周前发送到联系邮箱的邮件至今无人回复,工单客服表示联系不上国际版同事。
johnjiang85
2017-10-16 17:38:08 +08:00
@geekzu 我找人看下国际版 CAA 的问题,尽量能在月底支持返回 SOA,可以通过 letsencrypt 的验证。不过国际版目前仅保持维护状态,不会再有新功能添加。正常的 CAA 记录添加等后续国内版会增加,但是国际版不会增加。
johnjiang85
2017-10-20 17:14:12 +08:00
@geekzu 国际版版本已经更新
dig @a.dnspod.com dnspod.com -t TYPE257

; <<>> DiG 9.10.3-P4-Ubuntu <<>> @a.dnspod.com dnspod.com -t TYPE257
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10193
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dnspod.com. IN CAA

;; AUTHORITY SECTION:
dnspod.com. 600 IN SOA a.dnspod.com. domainadmin.dnspod.com. 1498622018 3600 180 1209600 180

;; Query time: 74 msec
;; SERVER: 112.90.141.215#53(112.90.141.215)
;; WHEN: Fri Oct 20 17:10:33 CST 2017
;; MSG SIZE rcvd: 109
chotow
2018-04-17 19:50:13 +08:00
@johnjiang85 阿里云年初支持 CAA 设置了,期待你们也增加。
johnjiang85
2018-04-17 19:52:43 +08:00
@chotow 后台服务程序都已经支持了的,控制台貌似正在开发中,预计很快就会上线了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/235903

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX