能夠正確管理域名的 DNS(全名為 Domain Name System,域名系統)對於確保一個企業網站及應用程式能否正常運作與受到信任是非常重要的。某些跟 DNS 相關的網路攻擊可能會對品牌形象與經濟效益造成相當嚴重的後果,這些攻擊尤其容易導致網站使用者流失、使用者身份資訊遭竊、網站無法正常運作,以及讓使用者感到挫折等。在域名上啟用 DNSSEC 安全協定就能確保 DNS 紀錄內容受驗證與保護,避免紀錄遭到篡改,從而強化域名安全。
儘管如此,這項 ICANN 推薦設定 仍未獲得大多數企業重視。讓我們一同了解 DNSSEC 如何保護域名並揭開它技術上的神秘面紗。
DNSSEC 如何保護域名安全
DNSSEC 為一項安全協定,透過公開金鑰加密,對名稱伺服器上交換的資訊進行數位簽章。這項協定在根域名伺服器建立了「信任鏈」,保護由各個 DNS 伺服器發送出的資料。
這些資料在端到端中通過認證,確保了回應的真實性,心懷不軌的人無法破壞此受保護的信任鍊。
啟用 DNSSEC 能防止資料遭竄改(也稱為 DNS 劫持),確保您的網站流量不會被引導至另一個想竊取資訊的偽造網站。啟用 DNSSEC 也是法國國家網路安全局 ANSSI 建議提昇域名安全的作法。
DNSSEC 是如何運作的呢?
經由下列程序,DNSSEC 使用公開金鑰加密來進行簽署:
- 域名持有人生成一組金鑰
- 域名持有人將公開金鑰傳送至域名註冊商
- 域名註冊商將金鑰傳送至域名註冊局
- 註冊局簽署並發佈
這項程序其實與 SSL/TLS 憑證類似,其為網站管理者產生金鑰,接著將公開金鑰發送給憑證機構(CA)來簽署。
DNSSEC 其實是在 HTTPS 外提供額外安全保護:DNSSEC 確保將網路使用者正確引導至您的網站伺服器,而 SSL 憑證則保障了在網站內所有數據交換的安全性。
為何多數企業用戶仍未採用 DNSSEC?
儘管啟用 DNSSEC 能夠提昇安全性,卻連大型企業都仍未廣泛採用。舉例來說,在 CAC40(法國巴黎證券交易所市值前40大企業)中,沒有任何一間使用此安全協定。
而原因其實很好理解。
首先,手動執行 DNSSEC 是一個相對複雜的程序。更重要的是,這項協定需要定期維護操作(管理 KSK/ZSK 金鑰替換),這也是反對使用 DNSSEC 的主要論點。尤有甚者,一丁點技術問題就可能造成網站無法連線的嚴重後果。
為回應上述問題,Gandi 企業客服團隊已將多數程序自動化,讓企業免受複雜操作所苦,就可享有 DNSSEC 帶來的高度安全。
Gandi 企業客服團隊如何簡化為域名啟用 DNSSEC 的程序?
使用 Gandi 企業客戶服務,就能一鍵啟用完整 DNSSEC 防護鏈,無需自行生成加密金鑰。
透過 Gandi 企業客戶服務啟用域名 DNSSEC 同時,您還可以:
- 在 LiveDNS 上簽署 DNS 區域檔,
- 在使用我們的 DNS 伺服器時,自動發佈密鑰給註冊局,
- 在使用第三方的 DNS 服務時,根據 “第三方 DNS 供應商與域名註冊商/註冊局協定”,自動進行密鑰替換(rollover)
觀看我們的逐步說明教學影片:
DNS 劫持是企業應極力避免發生的情況。當您在域名上啟用 DNSSEC 時,就能確保 DNS 紀錄受到驗證與保護,讓網站流量不會被引導至另一個想竊取客戶資訊的偽造網站。
若您有任何問題,或需要協助啟用 DNSSEC,您都可以來信至後方信箱與我們的企業客服團隊聯繫 corporatecontact@gandi.net.
Tagged in corporate
