Tổng quan về Tiện ích bảo mật DNS (DNSSEC)

Tiện ích bảo mật hệ thống tên miền (DNSSEC) là một tính năng của Hệ thống tên miền (DNS) giúp xác thực các phản hồi cho các lượt tra cứu tên miền. Tính năng này không cung cấp biện pháp bảo vệ quyền riêng tư cho các lượt tra cứu đó, nhưng ngăn chặn kẻ tấn công thao túng hoặc làm hỏng phản hồi cho các yêu cầu DNS.

Để bảo vệ miền khỏi các cuộc tấn công giả mạo và đầu độc, hãy bật và định cấu hình DNSSEC ở những nơi sau:

  1. Vùng DNS. Nếu bạn bật DNSSEC cho một vùng, Cloud DNS sẽ tự động quản lý việc tạo và xoay vòng khoá DNSSEC (bản ghi DNSKEY) cũng như ký dữ liệu vùng bằng các bản ghi chữ ký số bản ghi tài nguyên (RRSIG).

  2. Tổ chức quản lý tên miền cấp cao nhất (TLD) (đối với example.com, đây sẽ là .com). Trong tổ chức quản lý TLD, bạn phải có bản ghi DS xác thực bản ghi DNSKEY trong vùng của mình. Bạn có thể thực hiện việc này bằng cách kích hoạt DNSSEC tại nhà đăng ký miền của bạn.

  3. Trình phân giải DNS. Để được bảo vệ đầy đủ bằng DNSSEC, bạn phải sử dụng trình phân giải DNS xác thực chữ ký cho các miền được ký bằng DNSSEC. Bạn có thể bật tính năng xác thực cho từng hệ thống hoặc trình phân giải lưu vào bộ nhớ đệm cục bộ nếu bạn quản trị các dịch vụ DNS của mạng.

    Để biết thêm thông tin về việc xác thực DNSSEC, hãy xem các tài nguyên sau:

    Bạn cũng có thể định cấu hình hệ thống để sử dụng trình phân giải công khai xác thực DNSSEC, đáng chú ý là DNS Google PublicDNS Verisign Public.

Điểm thứ hai giới hạn tên miền mà DNSSEC có thể hoạt động. Cả nhà đăng ký và tổ chức quản lý tên miền đều phải hỗ trợ DNSSEC cho TLD mà bạn đang sử dụng. Nếu bạn không thể thêm bản ghi DS thông qua nhà đăng ký miền để kích hoạt DNSSEC, thì việc bật DNSSEC trong Cloud DNS sẽ không có hiệu lực.

Trước khi bật DNSSEC, hãy kiểm tra các tài nguyên sau:

  • Tài liệu về DNSSEC cho cả nhà đăng ký tên miền và tổ chức quản lý tên miền cấp cao nhất
  • Hướng dẫn dành riêng cho nhà đăng ký tên miền trong Google Cloud hướng dẫn dành cho cộng đồng
  • Danh sách ICANN về các nhà đăng ký tên miền hỗ trợ DNSSEC để xác nhận việc hỗ trợ DNSSEC cho miền của bạn.

Nếu tổ chức quản lý tên miền cấp cao (TLD) hỗ trợ DNSSEC nhưng nhà đăng ký tên miền của bạn không hỗ trợ (hoặc không hỗ trợ DNSSEC cho TLD đó), thì bạn có thể chuyển miền sang một nhà đăng ký tên miền khác hỗ trợ DNSSEC. Sau khi hoàn tất quy trình đó, bạn có thể kích hoạt DNSSEC cho miền.

Thao tác quản lý

Để biết hướng dẫn từng bước về cách quản lý DNSSEC, hãy xem các tài nguyên sau:

Các loại tập hợp bản ghi được DNSSEC nâng cao

Để biết thêm thông tin về các loại tập hợp bản ghi và các loại bản ghi khác, hãy xem các tài nguyên sau:

  • Để kiểm soát những tổ chức phát hành chứng chỉ (CA) công khai nào có thể tạo TLS hoặc các chứng chỉ khác cho miền của bạn, hãy xem bản ghi CAA.

  • Để bật tính năng mã hoá cơ hội thông qua đường hầm IPsec, hãy xem các bản ghi IPSECKEY.

Các loại bản ghi DNS có vùng được bảo mật bằng DNSSEC

Để biết thêm thông tin về các loại bản ghi DNS và các loại bản ghi khác, hãy xem tài nguyên sau:

  • Để cho phép các ứng dụng máy khách SSH xác thực máy chủ SSH, hãy xem phần Bản ghi SSHFP.

Di chuyển hoặc chuyển vùng đã bật DNSSEC

Cloud DNS hỗ trợ di chuyển các vùng đã bật DNSSEC, trong đó DNSSEC đã được kích hoạt tại tổ chức đăng ký miền mà không làm gián đoạn chuỗi tin cậy. Bạn có thể di chuyển các vùng đến hoặc từ các nhà cung cấp dịch vụ DNS khác cũng hỗ trợ di chuyển.

Nếu miền hiện tại của bạn do nhà đăng ký tên miền lưu trữ, bạn nên di chuyển máy chủ định danh sang Cloud DNS trước khi chuyển sang nhà đăng ký tên miền khác.

Bước tiếp theo