半个月前发现阿里云的DNS解析服务器在搞优惠,一年30多,然后依稀记得之前做问卷,还给了一个代金券来着。于是就27买了两年的付费DNS。

之前一直再用华为云的DNS,免费,最低TTL支持1秒,还有细致的解析线路分划。

无奈华为云DNS不完全通过 DNS Flag Day 验证

DNS Flag Day

检测是否支持

DNS Flag Day是一项针对权威DNS的、共识性的全球更新,旨在确保所有主要DNS基础架构都遵循新的EDNS标准(DNS扩展机制)。从2019年2月1日后,对于不支持EDNS协议的权威DNS服务器,在EDNS查询时可能会被Google、Cloudflare、Cisco/OpenDNS、ISC/BIND等公共DNS、递归DNS标记为服务不可用,从而导致域名无法正常解析。在非EDNS查询时域名正常解析,不受影响,中国大陆地区绝大多数为非EDNS查询。

检测地址:https://dnsflagday.net/

使用华为云DNS会提示 SLOW 即可正常解析,不过解析的速度会变慢

SLOW

而如果用百度云加速DNS会提示 STOP 在海外某些国家可能无法正常解析

STOP

这是完全通过校验的

请输入图片描述

DNS(部分)

以下为部分DNS支持情况,欢迎评论补充

不完全支持(SLOW):华为云、阿里云(免费版)

完全支持(GO):阿里云(付费版)、DNSPOD(免费和付费)

DNSSEC

简介

Domain Name System Security Extensions (DNSSEC)DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性和证实域名不存在。

若要通过互联网联系他人,就必须在计算机中键入一个地址(以名称或数字表示)。该地址必须是唯一的,这样计算机才能确定彼此的位置。 ICANN负责在全球范围内协调此类唯一标识符。如果没有这种协调,我们就不会拥有统一的全球互联网。 在键入名称时,必须首先由某个系统将该名称转换为数字,然后才能建立连接。该系统称为域名系统 (Domain Name System, DNS) ,它将类似于 www. icann. org的名称转换为数字,这些数字称为互联网协议 (Internet Protocol, IP) 地址。 ICANN 对寻址系统进行协调,以确保所有地址都是唯一的。
最近,人们在 DNS 中发现了一些漏洞,攻击者可以利用这些漏洞劫持这一使用名称在 互联网 上搜寻某个人或某个站点的过程。这种攻击的目的是取得对会话的控制以实施某种操作,例如使用户进入劫持者自己设立的欺骗性网站,以便收集用户的帐户和密码。
由于这些漏洞的存在,人们越来越希望引入一种称为 DNS 安全扩展 (DNS Security Extensions, DNSSEC) 的技术,以保护 互联网 的这一部分基础 设施 。

开启要求

一、DNS提供商

需要你的域名DNS提供商支持DNSSEC

阿里与DNSPOD的付费版DNS均支持开启DNSSEC

二、域名注册商支持设置DNSSEC记录

在域名注册商处设置DNSSEC记录

设置DNSSEC

检测状态

网址:https://dnsviz.net/

DNSSEC未启用

DNSSEC未启用

DNSSEC未生效

DNSSEC未生效

DNSSEC正常

DNSSEC正常

最后修改:2022 年 03 月 20 日
如果觉得我的文章对你有用,请随意赞赏