京东云推出了DNS域名解析服务,但是由于习惯问题一直在使用DNSPOD。最近,收到了不少朋友的反馈,提示说挖站否在个别地区无法访问。排除了主机线路的问题后,猜测可能是出在了DNS解析这一环节上,毕竟服务器放在国外或多或少地存问题。
于是想到给DNS添加CAA记录。CAA全称为DNS Certification Authority Authorization,即DNS证书颁发机构授权,借助互联网的域名系统(DNS),使域持有人可以指定允许为其域签发证书的数字证书认证机构(CA)的技术。
CAA记录在一定程度上可以防止中间人伪造SSL证书劫持网址连接,可以最大限度地保护正常的DNS解析。很可惜的是,国内最大的免费DNS解析服务商DNSPOD居然不支持CAA记录,截止目前cloudxns、京东云DNS已经支持了CAA记录解析。
本篇文章就来分享一下京东云DNS的域名解析服务,目前京东云DNS可以免费升级到企业版,支持电信、移动、联通、方正、华数、铁通、长宽等智能线路解析。最低TTL为60秒,支持泛解析,流量防护为2GB,QPS防护5W,总得来说企业版本京东云DNS要强于DNSPOD。
关于免费DNS解析服务,大家还可以看看这些:
PS:2018年6月26日更新,感谢好友 日杂记 的热心提醒,目前国内支持CAA的免费DNS有以下几个:DNS.com、阿里云(万网)DNS、DNSDUN.com。其中DNSDUN还支持国内分区解析和DNSSEC(不过需要付费才能使用)
PS:2018年7月4日更新,京东云虽然支持CAA,但是不支持DNSSEC,想要体验更加安全的DNS解析,可以试试GCP DNS:DNS域名解析启用DNSSEC防止DNS劫持-Google Cloud DNS设置DNSSEC。
网站:
DNS域名解析服务是京东云的一项主要业务,你只要登录到京东云管理后台就可以找到DNS域名解析页面了,关于京东云VPS可以看我之前的评测:Jcloud京东云VPS主机性能与速度评测-价格便宜但VPS硬盘IO读写慢。
目前京东云DNS企业版还处在免费当中,现在添加域名直接升级为京东云DNS企业版本,以下是京东云DNS免费版与企业版的功能区别。(点击放大)
进入到京东云DNS管理平台,然后就可以添加域名了。
目前添加域名没有限制,添加的域名会直接显示使用的是企业版本。
添加域名后,会要求你将域名的NS服务器更换为京东云DNS的:
ns1.jdgslb.com
ns2.jdgslb.com
修改好了NS服务器后,你就可以开始添加解析记录了,这是A记录添加的界面,结合说明文字操作起来还是挺简单的。
京东云DNS支持添加的记录类型非常多,包括A、CNAME、AAAA、NS、MX、TXT、SRA、CAA、显性URL、隐性URL等。
在线路划分这一块,除了移动、电信、联通、海外线路、搜索引擎线路等划分外,还有地域划分,例如华北、华南、华中、西北等,可以说线路划分相当地详细了。
搜索引擎划分也相当详细,有百度搜索、谷歌搜索、360搜索等等。
TTL时间最短可以设置为60秒。
京东云DNS算是国内”唯二“的支持DNS CAA记录的DNS解析服务商(另一个是cloudxns),更多的国外的DNS域名解析服务见:国内外免费DNS域名解析服务汇总列表。
如果你不知道自己的DNS域名解析服务是否支持CAA,可以查看以下汇总图。(点击放大)
添加 CAA 记录的说明如下:
主机记录 直接填写顶级域名,会自动应用到多级域名。
CAA data 填写
0 issue "证书颁发机构域名"。
如果如果你用 Let’s Encrypt 颁发的免费证书,CAA data部分直接填写0 issue "letsencrypt.org"即可。你还可以添加一条为
0 iodef mailto:iwzfou@gmail.com的 CAA 记录,表示如果发现违背 CAA 记录的情况给这个邮箱发邮件通知。
除了Google Cloud DNS, Route 53, DNSimple等常见了DNS解析服务外,如果你用的是BIND、PowerDNS、dnsmasq等,添加域名CAA记录与上面会有所不同,建议使用CAA记录自动在线生成来搞定。
直接输入域名,工具会自动查询你的网站使用了什么证书,然后你就可以看到你要填写的CAA记录了,以下是wzfou.com添加CAA记录后的效果。
最后,我们可以使用SSL证书在线检测网站来查看自己的域名CAA记录是否生效:https://www.ssllabs.com/ssltest/index.html。
目前在京东云DNS添加域名都可以免费升级到企业版本,企业版的京东云DNS功能上相对于免费版本的DNS更多也更加实用,例如线路划分、CAA记录、地域划分等,这些都是DNSPOD所没有的了。
对于DNS CAA记录,可以说在一定程度上可以防止中间人伪造SSL证书劫持DNS解析,为了确保DNS“万无一失”,建议启用HSTS并加入HSTS Preload List让网站Https访问更加安全。效果见wzfou.com网站。
文章出自:挖站否 https://wzfou.com/jdcloud-dns/,版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
文章更新于: %s = human-readable time difference 下午8:27
查看评论
两年后的今天,DNSPod 终于开放 CAA 了,不过研究了下,感觉不设置也行 =-=
确实用处不是很大,国内支持CAA的DNS也没几个。
hello,
那个ns1跟这个jd的caa不一样,ns1那几个数据应该怎么填写啊
可能是显示界面不一样,但是基本操作还是选择CAA记录,然后输入 0 issue "letsencrypt.org",或者是分开输入几个参数。
一打开,看到一个PS.2016年6月26日更新,下意识上下拉找文章发布日期,但是看到评论,都是最近的,才发现是博主这个日期搞错了 :-D
才发现,刚刚更新了。谢谢。
一直用阿里云免费版DNS,感觉不错。
顺便说一句:挖站否和我博客都已经一周年了
一周年了,我记得去年六月份还写了一篇开篇文章。
站长用的什么空间啊,推荐一个
用的搬工的:https://wzfou.com/vps-bangdan/
qi姐用的 阿里云国际版 香港
现在用的是搬工的VPS了。
我都是用阿里云自带的
阿里云自带的DNS使用lets证书时,现在还会出现验证超时的问题吗?
这个我没遇到过 不清楚 :-)
给Qi做一个更正,目前国内支持CAA的免费DNS还有以下几个:DNS.com、阿里云(万网)DNS还有一个DNADUN.com。其中DNSDUN还支持国内分区解析和DNSSEC(国内应该是唯一一个吧)
非常感谢你的提醒,已经更新了。刚去官网看了一下,DNSDUN的DNSSEC需要付费使用。
我试了一下,DNSDUN的DNSSEC可以免费使用。
那有空去试试。话说官网找回密码都不行了。
CAA记录最好搭配DNSSEC食用,不过国内对DNSSEC的支持太少了。
而且CAA记录主要的作用是防止未经允许的CA签发你的证书,并且这个记录也只是一个协议性的东西,如果是中间人攻击的话,完全可以选择不遵守这一协议规定。
本来想用国外的DNS来用上DNSSEC,但是没有分区解析,就放弃了。
回头去试试,现在网站挂在国外服务器,晚上的时候速度很慢,所以正在找好的CDN来处理这样的性能问题。
晚上可以用分区解析。
qi 考不考虑给博客加上打赏?有时候看到好文章了,想顺手支持下。
已经在文章后面 添加了,哈哈。
已打赏支持。我太懒了,直接用Donate With QRcode插件。
你的网站评论有点问题,上次就遇到了,第一次评论刷新页面后空白,再次手动刷新后没没评论了。
Donate With QRcode这个插件好久没有更新了。你的评论好像是进入到待审核了,不知道是怎么回事。
已打赏~ 我用的是Donate With QRcode插件。