如何設定Azure購買的網域DNSSEC

DNSSEC 中文是「網域名稱系統安全擴充」(Domain Name System Security Extensions),DNSSEC旨在保護應用程式(以及服務這些應用程式的快取解析器)免受偽造或不當操縱的DNS資料所造成的影響(例如域名伺服器快取污染的資料)

啟用會有一些前提

網域的 DNS 區域必須提供公開金鑰 (DNSKEY)、簽名 (RRSIG) 及不存在 (NSEC 或 NSEC3 及 NSEC3PARAM) 的特殊 DNSSEC 記錄,以驗證區域的內容。

截止發稿時Azure DNS還不支援DNSSEC,來源:https://docs.microsoft.com/zh-tw/azure/dns/dns-faq#does-azure-dns-support-dnssec

頂層網域註冊 (在 example.com 中,則是指 .COM) 必須有一個 DS 記錄,才能驗證區域中的 DNSKEY 記錄。請在網域註冊商處啟用 DNSSEC,以執行此驗證作業。

這一點,一般主流的頂層網域都有支援,目前已部署在.com、.net、.org、.int、.edu、.mil和.gov等頂級域,以及部分國家和地區頂級域。Azure上購買的網域對應的註冊商網站也有啟用的選項。

https://dnssec-debugger.verisignlabs.com/可以用來檢查網域是否有啟用DNSSCE。

還有一些其他的前提,大家可以搜尋網路相關內容

如果我們要針對Azure上購買的網域啟用DNSSEC,現階段必須將DNS記錄的管理轉移到其他提供商,此處以cloudflare為例,先將DNS管理轉到cloudflare上。

在沒有啟用DNSSEC前


在Cloudflare中開啟對應的網域DNS管理,找到DNSSEC區塊,點擊Enable DNSSEC,一般不用一分鐘即可完成

點擊Confirm關閉視窗,可以點擊DS Record查看剛才彈出的參數,後面Azure的網域管理頁面中的操作步驟需要使用到這些參數。


切換到Azure的網域管理當中


點擊DNSSCE,再點擊ADD

填寫Cloudflare中產生的參數,點擊Update提交。

生效後,到查詢網站查詢,會發現網域已經通過DNSSEC的驗證。


在Cloudflare中也可以看到成功的訊息