V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
alect
V2EX  ›  分享发现

Cloudflare 可以免费部署 DNSSEC 了

  •  
  •   alect · 2015-11-13 12:16:17 +08:00 · 5744 次点击
    这是一个创建于 3297 天前的主题,其中的信息可能已经有所发展或是发生改变。
    收到邮件:
    CloudFlare ’ s mission is to make the web more secure. That ’ s why we spent the last two years working on Universal DNSSEC. With just a few clicks, you can now protect your domain name from DNS cache poisoning and man-in-the-middle attacks at no extra cost. All you need to do is upload one DNS record to your registrar.

    If you care about the integrity and reputation of your brand, you should learn more about how DNSSEC helps prevent domain hijacking.

    https://www.cloudflare.com/dnssec/
    17 条回复    2018-04-17 19:52:43 +08:00
    lhbc
        1
    lhbc  
       2015-11-13 12:19:35 +08:00
    被某墙污染的能解决?
    alect
        2
    alect  
    OP
       2015-11-13 12:59:57 +08:00
    @lhbc 然而很多国内 DNS 服务器并不支持 dnssec 。。。然并卵
    bestsanmao
        3
    bestsanmao  
       2015-11-13 13:04:24 +08:00

    已经 enable dnssec 了
    kmahyyg
        4
    kmahyyg  
       2015-11-13 13:19:09 +08:00
    怎么弄?有啥用?
    Eleutherios
        5
    Eleutherios  
       2015-11-14 07:22:24 +08:00 via iPhone
    印象里 DNSSEC 之于 DNS 就像 HTTPS 之于 HTTP 。

    @alect 国内的不行好歹还有国外的,然而大部分客户端大都不支持 DNSSEC …然并卵
    hotbaidu
        6
    hotbaidu  
       2015-11-15 19:17:19 +08:00
    国内 Public DNS 目前只有百度跟 CNNIC 支援 DNSSEC 验证
    20140930
        7
    20140930  
       2015-11-16 10:47:44 +08:00
    @johnjiang85 域名的 dns 支持了 dnssec 。 http://blog.dnspod.cn/tag/dnssec/
    公共的 119.29.29.29 dns 什么时候支持?
    johnjiang85
        8
    johnjiang85  
       2015-11-16 18:04:04 +08:00
    @20140930 谢谢支持
    DNSPod 的授权解析很之前是使用的开源解析程序的二次开发版,并对 DNSSEC 进行了支持,但是因为该功能基本无任何意义(递归都不支持),且大量消耗服务器资源,所以在之后的自研解析程序中以及官网升级中,并未对 DNSSEC 进行直接支持,目前 DNSPod 官网中也都去掉了支持 DNSSEC 的描述。
    但是随着这几年的发展, DNSSEC 有了一定程度(虽然很小)的增长,我们也在讨论重新支持 DNSSEC 的可行性和必要性(主要是我们自己也推出了公共 DNS ),目前来看时机尚未完全成熟,主要的原因除了 5 楼说的大部分客户端不支持外,还有一个很重要的原因是目前国内针对 DNS 的攻击非常严重,而如果要支持 DNSSEC ,势必造成解析服务器消耗资源过多,严重影响解析服务器的性能,应答包太大容易被用于反射放大攻击等等问题。
    现在 DNSPod 对于支持 DNSSEC 并没有具体的安排,但是不排除在 2016 年进行支持的可能,如果决定要进行支持的话,我们会在授权 DNS 和公共 DNS 进行同时支持,解决我们能决绝的这一部分问题。
    由于支持 DNSSEC 来解决 DNS 劫持问题,需要非常多的依赖,并存在很多问题,一直未进行支持。但是我们 15 年推出了 D+(HttpDNS )的解决方案,虽然大多数时候只能解决 app(客户端)的 DNS 劫持问题,但是相比于 DNSSEC 的可行性还是高不少,而且今后移动互联网毕竟是大势所趋,并且移动互联网的 DNS 劫持问题比 PC 时代更严重一些。
    ghost444
        9
    ghost444  
       2017-01-17 03:02:11 +08:00 via Android
    @johnjiang85 2017 了…
    johnjiang85
        10
    johnjiang85  
       2017-01-17 10:15:54 +08:00
    @ghost444 目前还没有支持 DNSSEC 的计划...
    yryz
        11
    yryz  
       2017-07-12 14:50:45 +08:00
    @johnjiang85 为什么不考虑支持 DNSSEC 呢,是有什么障碍吗。 目前有几项关于 HTTPS 安全的 RFC 规范都需要 DNSSEC 做支撑。

    CAA 这个解析记录也是,我看国内都不支持。
    johnjiang85
        12
    johnjiang85  
       2017-07-12 16:36:49 +08:00   ❤️ 1
    @yryz 目前还没有任何计划去支持 DNSSEC,怎么说呢,最主要的还是付出收益比是否值得去做,有比较高的收益,或者不支持 DNSSEC 会导致非常严重的后果,是会去做的。
    比如 CAA 吧,其实 DNSPod 从 lets encrypt 之后会响应 CAA 类型了(当然控制台依然是不支持的),但是直接返回 SOA,以便通过 lets encrypt 的校验,在之前 CAA 类型包括其他任何不支持的类型,都是直接过滤丢包的,现在的网络环境 DDoS 的攻击太多就要求安全防护规则都要从严。
    geekzu
        13
    geekzu  
       2017-10-16 14:44:30 +08:00
    @johnjiang85 你好,看起来你是 DNSPod 的官方人员,想反馈一下,DNSPod 国际版仍会丢弃 CAA 查询,本人一周前发送到联系邮箱的邮件至今无人回复,工单客服表示联系不上国际版同事。
    johnjiang85
        14
    johnjiang85  
       2017-10-16 17:38:08 +08:00
    @geekzu 我找人看下国际版 CAA 的问题,尽量能在月底支持返回 SOA,可以通过 letsencrypt 的验证。不过国际版目前仅保持维护状态,不会再有新功能添加。正常的 CAA 记录添加等后续国内版会增加,但是国际版不会增加。
    johnjiang85
        15
    johnjiang85  
       2017-10-20 17:14:12 +08:00
    @geekzu 国际版版本已经更新
    dig @a.dnspod.com dnspod.com -t TYPE257

    ; <<>> DiG 9.10.3-P4-Ubuntu <<>> @a.dnspod.com dnspod.com -t TYPE257
    ; (2 servers found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10193
    ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
    ;; WARNING: recursion requested but not available

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 4096
    ;; QUESTION SECTION:
    ;dnspod.com. IN CAA

    ;; AUTHORITY SECTION:
    dnspod.com. 600 IN SOA a.dnspod.com. domainadmin.dnspod.com. 1498622018 3600 180 1209600 180

    ;; Query time: 74 msec
    ;; SERVER: 112.90.141.215#53(112.90.141.215)
    ;; WHEN: Fri Oct 20 17:10:33 CST 2017
    ;; MSG SIZE rcvd: 109
    chotow
        16
    chotow  
       2018-04-17 19:50:13 +08:00
    @johnjiang85 阿里云年初支持 CAA 设置了,期待你们也增加。
    johnjiang85
        17
    johnjiang85  
       2018-04-17 19:52:43 +08:00   ❤️ 1
    @chotow 后台服务程序都已经支持了的,控制台貌似正在开发中,预计很快就会上线了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5326 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 08:34 · PVG 16:34 · LAX 00:34 · JFK 03:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.