提升 .hk 公司網站安全 啟動 DNSSEC 教學

提升 .hk 公司網站安全 啟動 DNSSEC 教學

DNS 一向都是駭客進行攻擊的熱門目標對象,全因為 DNS 本身的機制存有漏洞,有機會讓攻擊者騎劫網址,將用戶轉送到惡意網站。 負責「 .hk 」和「.香港」域名註冊的 HKIRC 今日宣布全面啟動 DNSSEC 支援,減低域名被騎劫的風險,那麼到底如何啟動?筆者就以著名的 CloudFlare DNS 服務為例,講解一下如何啟動 DNSSEC 。

點解域名會畀人騎劫?

其實我們平常「看得懂」的域名,電腦是無法「看懂」的。電腦是用精確的 IP 地址來互相聯繫的,但 IP 地址一點都不好記。為了要給網站一個人類易懂的名稱,所以就出現「域名」這東西,而負責將域名「翻譯」成 IP 地址的,就是 DNS 的工作。

不過 DNS 這個協定存在根本性的漏洞,駭客有機會騎劫「翻譯」過程,從而將用戶的引領到虛假的釣魚網站,欺騙用戶提供個人資料。

因此就出現 DNSSEC 標準,以金鑰和數碼簽署來加強「翻譯」過程的保安。

DNSSEC 與 HTTPS 是同一回事嗎?

不是,雙方所處理的是不同的問題。 HTTPS ( SSL )是處理用戶與網站之間的資料加密,和網站伺服器本身的身份認證;而 DNSSEC 是確保域名在翻譯成 IP 地址的時候,沒有受到駭客竄改,是 DNS 服務供應商與域名註冊商之間的關係,但需要公司網站管理員在雙方之間確認的事情。

在 CloudFlare 及 HKDNR 啟動 DNSSEC 好容易

啟動 DNSSEC 時,需要 DNS 服務供應商與域名註冊商雙方知道對方的加密資料。筆者今次就以 CloudFlare DNS 來示範如何啟動這功能。

CloudFlare 是著名的內容傳遞網絡服務供應商( CDN ),他們有提供免費安全的 DNS 服務,而且還支援 DNSSEC 安全標準。

1. 登入 CloudFlare ,在網頁頂部選擇「 DNS 」,然後在域名清單中選取要啟動 DNSSEC 的域名;

1. 登入 CloudFlare ,在網頁頂部選擇「 DNS 」,然後在域名清單中選取要啟動 DNSSEC 的域名;

2. 撥到網頁下方,有 DNSSEC 一欄,按下「 Enable DNSSEC 」鍵;

2. 撥到網頁下方,有 DNSSEC 一欄,按下「 Enable DNSSEC 」鍵;

3. 網頁會彈出一些註冊 DNSSEC 時所需的資料,包括 Key Tag 、 Digest 等。先別心急按下 Continue 鍵⋯⋯

3. 網頁會彈出一些註冊 DNSSEC 時所需的資料,包括 Key Tag 、 Digest 等。先別心急按下 Continue 鍵⋯⋯

4. 另開一個網頁登入 .hk 域名的註冊商 HKDNR 網站,在域名清單中選擇要啟動 DNSSEC 的域名;

4. 另開一個網頁登入 .hk 域名的註冊商 HKDNR 網站,在域名清單中選擇要啟動 DNSSEC 的域名;

5. 在功能目錄最下方找到修改和更新 DNSSEC 的一項按進去;

5. 在功能目錄最下方找到修改和更新 DNSSEC 的一項按進去;

6. 將第 3 步中 CloudFlare 顯示出來的資料,按圖中編號拷貝過去。要留意 HKDNR 裡 Digest Type (雜湊類型)是用數字來代表的,要對照 CloudFlare 上的資料來選擇。填妥後就按「 Add 」鍵繼續;

6. 將第 3 步中 CloudFlare 顯示出來的資料,按圖中編號拷貝過去。要留意 HKDNR 裡 Digest Type (雜湊類型)是用數字來代表的,要對照 CloudFlare 上的資料來選擇。填妥後就按「 Add 」鍵繼續;

7. 在下一頁勾選確認啟動 DNSSEC 之後,就會出現成功更新的畫面;

7. 在下一頁勾選確認啟動 DNSSEC 之後,就會出現成功更新的畫面;

8. 這時可以再次選擇 HKDNR 裡的域名和 DNSSEC 選項來確認資料已生效,也可以刪除或新增其他 DNSSEC 資料(如果你的公司網站採用多間供應商的 DNS 的話);

8. 這時可以再次選擇 HKDNR 裡的域名和 DNSSEC 選項來確認資料已生效,也可以刪除或新增其他 DNSSEC 資料(如果你的公司網站採用多間供應商的 DNS 的話);

9. 這時回到 CloudFlare ,按下第 3 步中的「 Continue 」鍵,就會看到 CloudFlare 會翻查 HKDNR 的資料,以確定雙方的設定一致。成功的話就會顯示「 Success 」字樣。

9. 這時回到 CloudFlare ,按下第 3 步中的「 Continue 」鍵,就會看到 CloudFlare 會翻查 HKDNR 的資料,以確定雙方的設定一致。成功的話就會顯示「 Success 」字樣。

延伸閱讀

「.hk」啟動 DNSSEC 防止假冒網站