什么是DNSSEC

域名系統安全擴展（DNS Security Extensions），簡稱DNSSEC。開啟DNSSEC，可有效防止DNS欺騙和緩存污染等攻擊。它是通過數字簽名來保證DNS應答報文的真實性和完整性，能夠保護用戶不被重定向到非預期地址，從而提高用戶對互聯網的信任，并保護您的核心業務。

DNSSEC使用注意事項

1. DNSSEC目前面向付費版DNS用戶（不限版本）開放使用。

2. 使用子域名獨立托管DNS功能，則不支持開啟DNSSEC。

3. 使用輔助DNS功能，則不支持開啟DNSSEC。

4. DNS付費版到期，如計劃不再使用DNS付費版時，需先到域名注冊商刪除DS記錄，然后在云解析DNS控制臺關閉DNSSEC，避免造成解析失敗情況。

5. 已開啟DNSSEC服務，且使用 “域名賬號間轉移” 功能時，指將域名從A賬號轉移到B賬號， 需先到域名注冊商刪除DS記錄，然后在云解析DNS控制臺關閉DNSSEC，避免造成解析失敗情況。

6. 已開啟DNSSEC服務，且使用 “跨賬號轉移DNS解析”功能時，指將域名DNS解析從A賬號轉移到B賬號，需先到域名注冊商刪除DS記錄，然后在云解析DNS控制臺關閉DNSSEC，避免造成解析失敗情況。

7. 已開啟DNSSEC服務，使用“解綁域名”功能時，需先到域名注冊商刪除DS記錄，然后在云解析DNS控制臺關閉DNSSEC，避免造成解析失敗情況。

8. DNSSEC功能，需要域名解析服務商和域名注冊服務商都支持DNSSEC，方可生效，目前云解析DNS和阿里云域名注冊商均支持此項服務。

DNSSEC開啟設置方法

1. 登錄 云解析DNS控制臺。

2. 點擊左側導航欄 權威域名解析，在 權威域名 頁簽選擇需要開啟DNSSEC的域名，點擊 解析設置。

   

3. 選擇 DNS安全， 頁簽選擇 DNSSEC， 單擊 開啟DNSSEC。

   

4. 復制DS記錄信息如 Key Tag 、Algorithm、Digest Type、Digest， 然后到域名注冊商處增加一條DS記錄。

   

5. 以阿里云域名注冊商為例， 請參考 域名系統安全擴展（DNSSEC）配置 文檔。

DNSSEC生效測試方法

請使用 測試工具 測試。

檢測DNSSEC是否開啟

以dns-example.com為例，例如在圈中區域未展示有 DS 代表未開啟DNSSEC服務。

DNSSEC已生效

測試頁面中如每一級都顯示出了 DS，且無紅色報錯框，說明已開啟DS，并已生效。

DNSSEC未生效

例如當測試頁面如出現紅框報錯，則代表DNSSEC未生效，可通過提交工單排查。

DNSSEC關閉設置方法

步驟一：在域名注冊商處將DS記錄刪除。

以阿里云注冊域名為例：

1. 登錄域名產品控制臺。

2. 在 域名列表 頁面單擊目標域名后方 操作 列的 管理 。

3. 單擊左側導航欄 DNS管理 下的 DNSSEC設置 ，然后單擊DS記錄后方的 刪除 。

步驟二：在云解析DNS控制臺關閉DNSSEC

1. 登錄云解析DNS產品控制臺。

2. 在 權威域名解析 頁面單擊目標域名進入 解析設置 頁面。

3. 選擇 DNS安全 頁簽，再選中 DNSSEC 頁簽，最后單擊 關閉DNSSEC 。

   警告

   請務必按照步驟一、步驟二的順序操作，否則可能導致解析失敗異常。