設定 DNSSEC 和 DNS 安全性

網域名稱系統 (DNS) 會將使用者可理解的網域名稱 (例如 google.com) 轉譯為機器可解讀的網站專屬 IP 位址，例如 172.217.3.206。設定 DNS 安全性擴充功能 (DNSSEC) 可以保護你的網域，避免受到快取毒害攻擊和 DNS 假冒等威脅。

開啟網域的 DNSSEC

重要事項：

部分頂層網域 (TLD) 不接受委派簽署者 (DS) 記錄，而會接受 DNS 公開金鑰 (DNSKEY) 記錄。
如果你原先是透過 Google Domains 購買網域名稱，系統可能已設定 DNSSEC。
如果網域包含 ALIAS 記錄，則無法啟用 DNSSEC。進一步瞭解 ALIAS 記錄。

如要設定網域 DNSSEC，你必須將特定資源記錄新增至 DNS 或簽署區域，並且為網域發布這些記錄。採用 Google Domains 的自動 DNSSEC 設定之後，我們會替你處理這兩個步驟。DNSSEC 正式啟用前，相關異動最多可能需要 24 小時才會在網際網路中更新。

登入 Google Domains。
選取你的網域。
依序選取畫面左上方的「選單」圖示「DNS」。
選取「預設名稱伺服器」或「自訂名稱伺服器」。
捲動到「DNSSEC」資訊卡或方塊。
- 預設名稱伺服器：按一下「啟用」。如果 DNSSEC 已啟用，你會看見「DNSSEC 已啟用」的字樣。
- 自訂名稱伺服器：按一下「管理 DS 記錄」，並輸入 DNS 供應商提供的資訊。
  1. 針對自訂名稱伺服器 DNSSEC 或 DNSKEY，請輸入第三方 DNS 供應商提供的值。
  2. 如要同時新增多項記錄，請按一下「建立新的記錄」。
  3. 按一下「儲存」。

提示：

如果選擇不等待系統發布 DNSKEY 記錄，請在「DNSSEC」下方展開 DNSSEC 資訊卡，按一下「立即發布記錄」。
啟用 DNSSEC 後，Google Domains 會在 2 個小時內，自動簽署 DNS 區域並發布委派簽署者 (DS) 記錄。

自訂名稱伺服器 DNSSEC 所需的值

如果你使用的是自訂名稱伺服器，則必須透過第三方 DNS 供應商為你的網域簽署 DNS 區域。針對各個 DNSKEY，請透過 DNS 供應商取得下列值：

金鑰標記：指涉現有 DNSKEY 記錄的數值。
演算法：在 DNSKEY 記錄中建立安全金鑰的加密演算法，通常會與 RSA/SHA1 等雜湊函式搭配運作。
摘要類型：建立 DNSKEY 記錄摘要的演算法，也稱為「摘要演算法」、「摘要雜湊」或「摘要雜湊函式」。
摘要：DNSKEY 記錄的雜湊值，可在不揭露金鑰值的情況下識別 DNSKEY 記錄。摘要長度視類型而定，可能是下列其中一項：
- SHA1：40 碼的十六進位數值
- SHA256：64 碼的十六進位數值
- SHA384：96 碼的十六進位數值

自訂名稱伺服器 DNSKEY 所需的值

如果你使用的是自訂名稱伺服器，請先與第三方 DNS 供應商聯絡，才能登入網域的 DNS 區域。針對各個 DNSKEY，請透過 DNS 供應商取得下列值：

旗標是一種資訊，可讓 DNS 和解析器瞭解應如何解讀 DNSKEY 記錄。根據預設，這個值會設為 256 或 257。
通訊協定會指出目前使用的 DNSSEC 版本，這個值一律會設為 3。
演算法會呈現公開或私密金鑰組使用的加密編譯演算法類型。
公開金鑰是 DNS 解析器在檢查 DNS 記錄是否遭到竄改時使用的金鑰。

停用網域的 DNSSEC

登入 Google Domains。
選取你的網域。
依序選取「選單」圖示「DNS」。
捲動到「DNSSEC」資訊卡或方塊。
- 預設名稱伺服器：選取「停用」。
- 自訂名稱伺服器：請按一下個別記錄旁邊的「刪除」。
選取「儲存」。

提示：

如果是自訂名稱伺服器，你也可以與 DNS 供應商合作，從區域中移除 DNSSEC 的相關資源記錄。
停用 DNSSEC 之後，Google Domains 會立即取消發布貴公司網域的 DS 記錄。相關異動在網際網路中更新之後，你的網域就不會再受到 DNSSEC 保護。這項程序最多可能需要 48 小時才能完成。Google Domains 可能會取消簽署你的 DNS 區域，以便完成 DNSSEC 停用作業。

使用動態 DNS

重要注意事項：動態 DNS 支援 IPv4 和 IPv6 位址，但請勿同時使用兩者。

動態 DNS 可讓你將網域或子網域導向位於閘道後方的資源，不過該資源必須具備動態指派的 IP 位址。如要使用動態 DNS，你必須使用 Google Domains 的預設名稱伺服器。

如果透過 Google Domains 設定動態 DNS，你可以執行以下操作：

建立網域或子網域的 A 或 AAAA 記錄，以供 Google 名稱伺服器辨識動態 IP。
產生使用者名稱和密碼，讓你的主機或伺服器將新的 IP 位址傳送給 Google 名稱伺服器。

完成動態 DNS 的設定程序之後，你必須在主機、伺服器或閘道中設定用戶端程式來執行下列作業：

偵測 IP 位址異動情況
使用產生的使用者名稱和密碼
將新的位址傳送給 Google 名稱伺服器

設定動態 DNS

透過電腦登入 Google Domains。
選取你的網域。
依序按一下「選單」圖示「DNS」。
選取「預設 Google Domains 名稱伺服器 (使用中)」.

提示：如果「自訂名稱伺服器 (使用中)」顯示為已選取，代表你已有自訂名稱伺服器，因此無法使用 Google Domains 的動態 DNS 服務。

按一下「顯示進階設定」。
依序按一下「管理動態 DNS」「建立新的記錄」。
輸入子網域或根網域的名稱來指派動態 IP。
按一下「儲存」。

以下是管理動態 DNS 的其他選項：

如要查看記錄值，請按一下所需記錄旁的三角形圖示。
如要查看為記錄建立的使用者名稱和密碼，請按一下「查看憑證」。
如要設定閘道或用戶端軟體來連結 Google 的名稱伺服器，請使用為記錄建立的使用者名稱和密碼。
如要刪除記錄：
1. 前往「資源記錄」。
2. 按一下「動態 DNS」旁邊的三角形圖示。
3. 選取「刪除」。

在閘道、主機或伺服器中設定用戶端程式

目前有數種常用的動態 DNS 用戶端，例如 DDclient 和 INADYN。多數路由器都有內建的軟體，可以偵測 IP 變更並將結果傳送至名稱伺服器。

請提供下列資訊，設定動態 DNS 用戶端：

供應商或 DNS 或服務：你的 DNS 供應商名稱
使用者名稱或憑證：動態 DNS 記錄中產生的使用者名稱
密碼或憑證：動態 DNS 記錄中產生的密碼

建立記錄並設定用戶端軟體之後，請測試記錄。在瀏覽器或適當的用戶端中輸入子網域和網域名稱，確認是否連結至正確的資源。

提示：Google Domains 使用 dyndns2 通訊協定。

範例

DDclient 現可支援 Google Domains。

支援 Google Domains 的 DDclient

ddclient.conf 項目：

ssl=yes

protocol=googledomains

login=generated_username

password=generated_password

your_resource.your_domain.tld

一般用戶端設定範例：

不支援 Google Domains 的 DDclient INADYN

ddclient.conf 項目範例：

protocol=dyndns2

use=web

server=domains.google.com

ssl=yes

login=generated_username

password=generated_password

your_resource.your_domain.tld

將以下項目新增至 inadyn.conf

system default@domains.google.com

username generated_username

password generated_password

alias sub.domain.tld

使用 API 更新動態 DNS 記錄

動態 DNS 用戶端軟體會自動更新動態 DNS 記錄。你可以透過 API 執行手動更新，方法是向下列網址傳送 POST 要求或 GET 要求：

domains.google.com/nic/update

API 必須使用 HTTPS。要求範例如下：

https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4

設定使用者代理程式

重要注意事項：你必須一併在要求中設定使用者代理程式。

使用上述網址 (domains.google.com/nic/update) 直接進行測試時，網路瀏覽器通常會為你新增使用者代理程式。傳送至 Google 伺服器的最終 HTTP 查詢應該會如下所示：

HTTP 查詢範例：

POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1

      Host: domains.google.com

      Authorization: Basic base64-encoded-auth-string

      User-Agent: Chrome/41.0 your_email@yourdomain.com

要求參數：

參數	必填或選填	說明
`username:password`	必要	產生的使用者名稱和密碼，與要更新的主機相關聯。
`hostname`	必要	要更新的主機名稱。
`myip`	IPv4 為選填。如果你使用的是 IPv6 位址，則為必填參數。	要用來設定主機的 IP 位址。如未提供，我們會使用傳送要求的代理程式 IP。重要注意事項：如果代理程式使用的是 IPv6 位址，則須提供 `myip` 參數。如有需要，你可以前往 https://domains.google.com/checkip 查看代理程式的 IP 位址。
`offline`	非必要	將目前的主機設為離線狀態。對離線的主機執行更新要求之後，該部主機就不再是離線狀態。有效值為： `是` `否`

要求處理完畢之後，系統會傳回以下其中一項回應。

重要注意事項：請務必正確解讀回應，否則用戶端可能會遭到系統封鎖。

回應	狀態	說明
`good {使用者的 IP 位址}`	成功	更新成功。建議你在 IP 位址變更前都不要再次嘗試更新。
`nochg {使用者的 IP 位址}`	成功	提供的 IP 位址已設定在這部主機上。建議你在 IP 位址變更前都不要再次嘗試更新。
`nohost`	錯誤	主機名稱不存在或未啟用動態 DNS。
`badauth`	錯誤	所選主機的使用者名稱/密碼組合無效。
`notfqdn`	錯誤	提供的主機名稱並非有效的完整網域名稱。
`badagent`	錯誤	動態 DNS 用戶端傳送的要求不正確，請確認要求中設有使用者代理程式。
`abuse`	錯誤	由於無法正確解讀先前的回應，導致主機名稱的動態 DNS 存取權遭到封鎖。
`911`	錯誤	我們的系統發生錯誤，請於 5 分鐘後再試一次。
`conflict A conflict AAAA`	錯誤	自訂的 A 或 AAAA 資源記錄與更新內容發生衝突，請刪除 DNS 設定頁面中指出的資源記錄，然後重試更新作業。