使用 DNSSEC (Linux)

觀看視頻教程

DNSSEC 是 DNS 協議的擴展,允許簽名 DNS 資料以保護域名解析過程的安全。欲瞭解有關 DNSSEC 和其用途的資訊,請存取 ICANN 網站https://tools.ietf.org/html/rfc6781

Plesk 能夠讓您通過 DNSSEC 保護託管域名的 DNS 資料。您可執行以下操作:

  • 配置金鑰生成和滾動更新的設定。
  • 依據 DNSSEC 規定簽名和取消簽名域名區域
  • 接收通知
  • 查看和複製 DS 資源記錄
  • 查看和複製 DNSKEY 資源記錄集

 

要求
  • Plesk for Linux 與 Bind DNS 伺服器,自 Bind 9.9 版本起。
  • DNSSEC 是一個付費擴展。而在 Plesk Web Host 和 Plesk Web Pro 版本中則免費提供該擴展。
  • DNSSEC 可在Debian 8、Ubuntu 14.04、Ubuntu 16.04、CentOS 7、RedHat Enterprise Linux 7、CloudLinux 7、Virtuozzo Linux 7上使用。

 

啟用 DNSSEC 支援

若要啟用 DNSSEC 支援,請安裝 Plesk DNSSEC 擴展(擴展 > 擴展目錄)。

2016-09-06_184223

  

配置預設的 DNSSEC 設定

默認的DNSSEC設定位於工具與設定 > 擴展 > DNSSEC。您可以更改生成金鑰簽名金鑰 (KSK) 和區域簽名金鑰 (ZSK) 對的默認策略。

KSK 和 ZSK 的推薦策略

  • 使用KSK 的長期金鑰和長期滾動更新(金鑰簽名金鑰)

    每次更新金鑰簽名金鑰,區域所有者都需要更新父級域名區域中的 DS 記錄。該推薦的策略能夠幫助更新父級區域中的 DS 記錄,盡可能降低安全風險。

  • 使用ZSK 的短期金鑰和短期滾動更新(區域簽名金鑰)

    會自動更新區域簽名金鑰。該推薦的策略會幫助節省系統資源,以降低安全風險。

當主機客戶在簽名其區域時,可使用預設的值或指定其它值。 詳情請參閱 在域名上使用 DNSSEC

2016-09-07_115530

  

使用DNSSEC保護DNS區域

如要使用DNSSEC,域名所有者必須簽名其DNS區域。 詳情請參閱 在域名上使用 DNSSEC

在 Plesk 中金鑰如何滾動更新

為了防止某個域名出現 DNS 中斷,Plesk會使用多個金鑰作為KSK以及使用多個金鑰作為ZSK。之前生成的存在於 parallel 中的金鑰會與新的金鑰一起保留一段時間,直到DNS區域中的所有更改生效。會自動移除過期的金鑰。

KSK 滾動更新

Plesk 通過 Double-RRset 方式的修改法來滾動更新金鑰簽名金鑰。區別是 Plesk 在每次滾動更新期間有兩個金鑰簽名金鑰。該方式能夠給域名區域所有者足夠的時間來更新父級區域中相應的DS記錄(例如,下面案例中滾動更新事件1和事件2之間的時段)。

用戶在 KSK 滾動更新時的操作

域名區域所有者會收到有關滾動更新和需要更新父級區域中 DS 記錄的通知。當最早的KSK到期而最新的KSK已生成時DS記錄則變成過時記錄(例如,在下面案例中滾動更新事件2時)。如果域名區域所有者沒有更新過父級區域的 DS 記錄,通知後一個滾動更新期結束時,域名會停止解析。

注意:此時,無法自訂域名區域所有者的通知文本。

KSK Rollover

ZSK 滾動更新

為了允許足夠的時間讓從屬和緩存 DNS 伺服器與主控 DNS 伺服器同步,Plesk 會執行以下操作:

  • 在滾動更新前某個特定時間添加新的金鑰到區域。
  • 在滾動更新後同一特定時間移除舊的金鑰。

ZSK滾動更新之前或之後的某個時間在Plesk中稱為過渡期。過渡時間是 30 日或區域的 SOA TTL 和 SOA 到期值的總和(如果其總和超過 30 天)。但是,過渡時間不得超過 ZSK 滾動更新時間的一半,否則滾動更新功能將會被打亂而區域簽名則會無效。

因此,為了確保 ZSK 滾動更新正常執行,Plesk 對以下值設定了限制:

  • 區域的 SOA TTL 和 SOA 到期的值。這兩個值的總和不得超過特定的計算值。
  • ZSK 滾動更新期。該值不得低於特定的計算值。

用戶對 ZSK 滾動更新的操作

當滾動更新區域簽名金鑰時,域名DNS區域所有者不需要進行任何操作。

ZSK Rollover