設定 DNSSEC 安全防護功能

網域名稱系統安全性擴充功能 (DNSSEC) 可保護您的網域,避免受到快取毒害攻擊和 DNS 假冒等網域名稱伺服器 (DNS) 威脅。

如何變更 DNSSEC 設定

DNSSEC 的啟用方式取決於您當初如何設定名稱伺服器。請選擇下方與您的設定相符的實作選項。

建議您盡量不要在啟用 DNSSEC 的情況下變更名稱伺服器,否則系統可能無法解析您的網域。

Google Domains 名稱伺服器

如果您目前使用的是 Google Domains 名稱伺服器,只要按一下滑鼠就能啟用 DNSSEC。操作說明如下:

  1. 登入 Google Domains
  2. 選取您的網域名稱。
  3. 按一下左側導覽面板中的 [DNS]
  4. 捲動至「DNSSEC」
  5. 切換「啟用 DNSSEC」/「停用 DNSSEC」即可變更網域的設定

當您啟用 DNSSEC 時,可能需等待約 2 小時,DNSSEC 才會完全生效。當您停用 DNSSEC 時,在這項功能完全停用之前,可能會有長達 2 天的延遲時間。

自訂名稱伺服器

如果您有自訂的名稱伺服器,可能需要請第三方 DNS 供應商為您的網域設定 DNSSEC。另外,您還必須在 Google Domains 上啟用 DNSSEC。請按照下列指示操作:
  1. 找出 DNS 供應商為您的網域建立的一筆或多筆 DNSKEY 記錄。
  2. 請 DNS 供應商提供下列資訊:
    • 金鑰標記:參照現有 DNSKEY 記錄的數值。
    • 演算法:在 DNSKEY 記錄中建立安全金鑰的加密演算法,通常會與特定雜湊函式 (例如 RSA/SHA1) 搭配使用。
    • 摘要類型:用於建立 DNSKEY 記錄摘要的演算法,也稱為「摘要演算法」、「摘要雜湊」或「摘要雜湊函式」。
    • 摘要:DNSKEY 記錄的雜湊值,可用來在不揭露金鑰值的情況下識別 DNSKEY 記錄。摘要長度依其類型而有所不同:
      1. SHA1:40 位數的十六進位值
      2. SHA256:64 位數的十六進位值
      3. SHA384:96 位數的十六進位值
  3. 請為每一筆 DNSKEY 記錄建立至少一筆簽署委派 (DS) 資源記錄。相關步驟如下:
    1. 登入 Google Domains
    2. 選取您的網域名稱。
    3. 按一下左側導覽面板中的 [DNS]
    4. 捲動至「DNSSEC」
    5. 使用先前步驟中的資訊建立一個項目。
這篇文章實用嗎?
我們應如何改進呢?