DNSSEC

DNSSEC 是 DNS 的安全延伸協定。使用非對稱公開金鑰來將 DNS 資料進行數位簽章,讓偽造 DNS 的各種攻擊更加困難,並且能確保 DNS 資料的可靠性。

如果您不了解 DNSSEC 的工作原理,也不了解其風險,我們建議您不要使用此功能,因為很容易讓您的解析失效。

在您想要管理 DNSSEC ,在您的域名控制面板中可以找到連結。如果您的域名有支援 DNSSEC,您將會在左側導航選單中看到 DNSSEC 的選項。

如果您在域名中沒有看到 DNSSEC 的選項,則表示您沒有使用我們的 LiveDNS 名稱伺服器,或是您的域名不支援 DNSSEC。

使用 LiveDNS 如何開啟的 DNSSEC

如果您使用我們的 LiveDNS 名稱伺服器,在開啟 DNSSEC 的整個流程非常容易。

要啟用 DNSSEC,請到 DNSSEC 分頁中,按下 「啟動 DNSSEC」 。

我們將會自動為您設定網域的 DNSSEC 紀錄。

警告

請在啟用的時間(12-24 小時)內,不要更換您的名稱伺服器,否則會造成域名無法解析。

使用其他名稱伺服器時,如何啟用域名的 DNSSEC

您需要先產生金鑰。最常見的產生方法是使用命令列模式,使用 dnssec-keygen 指令,您可以透過終端機執行,利用 dnssec-keygen -h 可獲得更多資訊。

在您完成產生金鑰後,在繼續下個步驟前,請先測試您的伺服器是否依舊運作正常。當您確認運作都沒有問題後,您可以透過 Gandi 的 DNSSEC 管理介面來上傳您的公開金鑰到域名管理局。

系統將會在驗證金鑰的欄位後,將您域名的公開金鑰送出至域名管理局。

您可以透過我們的介面最多上傳 4 把金鑰。然而,您可以隨時隨地刪除公開金鑰。只要有任何一把金鑰是屬於有效狀態時,您都可以增加新的金鑰。

當您的金鑰在域名管理局啟動後,DNSSEC 紀錄將會開始生效。

備註

您不須上傳 DS ,只需要上傳您的 KSK 或是 ZSK,我們將會自動計算 DS 後上傳至域名管理局。