分类
一点分享

个人博客启用DNSSEC

这项技术在去年NameSilo第一时间支持的时候就提上了我的计划,可惜的是至今才弄完….

博客若想启用DNSSEC,首先需要我的域名注册商支持,其次需要网站的DNS服务器支持,用户使用的DNS服务器方面先不谈。

不过,搜索了圈配置教程,都是教我们怎样配置DNS服务器启用这项技术。自行设置DNS服务器?这不坑爹吗…..虽然独立博客通常都有条件使用自己的DNS服务器,但是一般人都不会如此做。

更扯淡的是,国内的免费网站DNS服务,可以说几乎都不支持此项技术,就连NameSilo自带的免费DNS,也是不支持的。

 

刚巧,我看到土木坛子也用了DNSSEC,他的使用方法是直接在CloudFlare启用,他本人便是CloudFlare CDN的专业版用户。用过CloudFlare的人应该都知道,使用它需要修改域名的DNS解析服务器为CloudFlare本身,也即是说,它本身就提供免费的DNS服务——凑巧的是CloudFlare明确支持DNSSEC。如果我能在不启用CLoudFlare CDN的情况下使用它提供的DNSSEC,那不就相当完美吗?

结论就是,这样完全可行。

登录CloudFlare,添加DNS记录但是关闭它自动提供的云CDN(DNS记录中的云标记)。然后到DNSSEC选项中开启DNSSEC,复制相关的验证信息填入NameSilo DS Record设置中即可。

设置CloudFlare的CDN为关闭

关闭CloudFlare默认的CDN转发,这是因为它给电信分配的CDN为美国节点,对于使用香港主机的我来说当然是鸡肋。

添加的DSRecord

准备启用DNSSEC后自动生成的相关信息,需要你在域名注册商那里照规则填写。

可惜CloudFlare的纯DNS服务不支持301重定向,启用ClloudFlare CDN之后的PageRule倒是支持。

而NS记录(让子域名使用其它DNS服务器的记录)不支持根域名——只能为子域名设置且有效。所以我的根域名向www域名的301跳转至今使用的是修改.htaccess文件实现。

你可以使用VERISIGN提供的免费DNSSEC分析工具测试你的部署是否成功。

 

子域名的DNSSEC?

我之前为我的子域名test.yayaus.com设置了一条NS记录,将它的解析权限交给了DNSPOD,而DNSPOD却不支持DNSSEC。所以,如果使用上面的分析工具检查test.yayaus.com的DNSSEC就能发现它并没有支持DNSSEC。

所以子域名应当怎么处理这问题呢?其实我不知道,不过我注意到NameSilo的DS Records可以存在多条….

 

 

“个人博客启用DNSSEC”上的9条回复

有空的话可以把这些技术支持了。
虽然我目前用的主机还是共享IP,主机商也答复我不能支持共享IP站的SSL,但是我发现CPanle面板实质上自动启用了SNI技术支持。
可以算是以讹传讹,今天就花了点时间将博客大体切换到了SSL。

实质我几年前就想做了,就是被人云亦云所害。

现在我去问他们支持不支持的,依然有不少直接回复不支持,无语了。
免费证书也挺好的,特别是最近一年来免费证书还有大佬帮衬

请问站长,如果我的网站的https域名被gfw劫持到一个被污染的ip上面导致在国内不能够访问了,如果我为的网址的的dns配置了DNSSEC就可以正常访问了?还是域名在没有劫持的前提下就采用DNSSEC,之后就不会gfw劫持?到底那种情况对?

你看下这个,国内的公共DNS估计至今不支持DNSSEC,自然你的一般国内用户不能指望DNSSEC能帮助他们了。
这就是说除非这些访问你网站的人用了反DNS污染的东西才行,比如他们为你的网站采用的是国外DNS服务器并能成功连接且能够实际工作。 如果他们加了抗污染,别说你的网站了,好多被认证的网站都可以再访问,而墙打算不打算用搞你,我推测与你用没用DNSSEC没有关系。

假如我的网站在外国,如果成功采用了CloudFlare的DNSSEC,而且开启了CloudFlare的https还能够被gfw污染、封锁不?

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据