能够正确管理域名的 DNS(全名为 Domain Name System,域名系统)对于确保一个企业网站及应用程式能否正常运作与受到信任是非常重要的。某些跟 DNS 相关的网路攻击可能会对品牌形象与经济效益造成相当严重的后果,这些攻击尤其容易导致网站使用者流失、使用者身份资讯遭窃、网站无法正常运作,以及让使用者感到挫折等。在域名上启用 DNSSEC 安全协定就能确保 DNS 纪录内容受验证与保护,避免纪录遭到篡改,从而强化域名安全。
儘管如此,这项 ICANN 推荐设定 仍未获得大多数企业重视。让我们一同了解 DNSSEC 如何保护域名并揭开它技术上的神秘面纱。
DNSSEC 如何保护域名安全
DNSSEC 为一项安全协定,透过公开金钥加密,对名称伺服器上交换的资讯进行数位签章。这项协定在根域名伺服器建立了「信任链」,保护由各个 DNS 伺服器发送出的资料。
这些资料在端到端中通过认证,确保了回应的真实性,心怀不轨的人无法破坏此受保护的信任鍊。
启用 DNSSEC 能防止资料遭窜改(也称为 DNS 劫持),确保您的网站流量不会被引导至另一个想窃取资讯的伪造网站。启用 DNSSEC 也是法国国家网路安全局 ANSSI 建议提昇域名安全的作法。
DNSSEC 是如何运作的呢?
经由下列程序,DNSSEC 使用公开金钥加密来进行签署:
- 域名持有人生成一组金钥
- 域名持有人将公开金钥传送至域名註册商
- 域名註册商将金钥传送至域名註册局
- 註册局签署并发佈
这项程序其实与 SSL/TLS 凭证类似,其为网站管理者产生金钥,接着将公开金钥发送给凭证机构(CA)来签署。
DNSSEC 其实是在 HTTPS 外提供额外安全保护:DNSSEC 确保将网路使用者正确引导至您的网站伺服器,而 SSL 凭证则保障了在网站内所有数据交换的安全性。
为何多数企业用户仍未採用 DNSSEC?
儘管启用 DNSSEC 能够提昇安全性,却连大型企业都仍未广泛採用。举例来说,在 CAC40(法国巴黎证券交易所市值前40大企业)中,没有任何一间使用此安全协定。
而原因其实很好理解。
首先,手动执行 DNSSEC 是一个相对複杂的程序。更重要的是,这项协定需要定期维护操作(管理 KSK/ZSK 金钥替换),这也是反对使用 DNSSEC 的主要论点。尤有甚者,一丁点技术问题就可能造成网站无法连线的严重后果。
为回应上述问题,Gandi 企业客服团队已将多数程序自动化,让企业免受複杂操作所苦,就可享有 DNSSEC 带来的高度安全。
Gandi 企业客服团队如何简化为域名启用 DNSSEC 的程序?
使用 Gandi 企业客户服务,就能一键启用完整 DNSSEC 防护链,无需自行生成加密金钥。
透过 Gandi 企业客户服务启用域名 DNSSEC 同时,您还可以:
- 在 LiveDNS 上签署 DNS 区域档,
- 在使用我们的 DNS 伺服器时,自动发佈密钥给註册局,
- 在使用第三方的 DNS 服务时,根据 “第三方 DNS 供应商与域名註册商/註册局协定”,自动进行密钥替换(rollover)
观看我们的逐步说明教学影片:
DNS 劫持是企业应极力避免发生的情况。当您在域名上启用 DNSSEC 时,就能确保 DNS 纪录受到验证与保护,让网站流量不会被引导至另一个想窃取客户资讯的伪造网站。
若您有任何问题,或需要协助启用 DNSSEC,您都可以来信至后方信箱与我们的企业客服团队联繫 corporatecontact@gandi.net.
Tagged in corporate
