DNSSEC推广遇阻，Cloudflare使其变得简单

在不久的将来，预计将采用DNSSEC技术，以建立对域名系统（DNS）的信任，这是负责将网站名称转换为机器可理解数据的机制。

Cloudflare今天宣布其客户现在有一种简单的方法来增加DNS安全性，而无需在注册商处进行任何配置。

域名系统十分简洁

由于人类不像计算机一样善于处理数字，因此当我们想要访问网站时，称为域名系统（DNS）的模型负责将网站名称转换为相应的IP地址。

这个系统一直以来广受好评，直到它被发现它是易受攻击的，并且攻击者可以操纵它来指向用户恶意内容。

输入DNSSEC（域名系统安全扩展）模型，该模型在负责将客户端查询定向到适当目标的DNS服务器之间建立信任链。它在从权威名称服务器收到的答案中提供真实性和完整性。

DNSSEC采用进程缓慢

DNSSEC是一个更安全的互联网的解决方案，但它的采用起来非常缓慢，尽管它部署在第一个根名称服务器上，客户端查询在寻找域时首先到达，于2009年12月1日宣布。

根据亚太网络信息中心（APNIC）提供的信息，全球DNSSEC验证目前为15.8％。

Cloudflare表示： “这里的责任归咎于大多数设备和用户通过其ISP或网络提供商从DHCP接收的默认DNS提供商的肩膀。”

虽然在一些国家，DNSSEC的采用率超过80％，但世界地图仍然主要来自验证解析器低于10％的地区，许多欧洲国家就是这种情况。在美国，目前的采用率超过23％。

Cloudflare让它变得简单

Cloudflare在单个域级采用DNSSEC时发现的另一个问题，因为一些大型DNS运营商不提供选项或收费。

此外，来自APNIC的统计数据显示，许多域所有者尝试激活DNSSEC，但没有完成该过程，这表明是一个困难的过程。

为了解决这个问题，Cloudflare通过提供用于为子域添加委派签名者（DS）记录的简约界面，使其网络中的域所有者可以轻松激活DNSSEC。

该公司表示，受支持的注册管理机构的客户可以通过Cloudflare仪表板一键启用DNSSEC。

该公司还宣布完全支持从Cloudflare Dash启用DNSSEC的域的CDS / CDNSKEY（Child DS / Child DNSKEY）记录。

这些记录的目的是发出安全入口点的变化信号，从而在DNS运营商没有其他选择通知父母需要更改的情况下验证授权。

“Cloudflare将为所有启用DNSSEC的域发布CDS和CDNSKEY记录。主要注册管理机构应扫描其权限范围内的域名服务器并检查这些rrsets。授予Cloudflare的域的CDS密钥的存在表明已验证的Cloudflare用户已在短划线内启用了DNSSEC，并且主要运营商（注册商或注册机构本身）应该获取CDS记录内容并创建必要的DS记录以开始签署域名，“该公司解释说。

通过这一举措，Cloudflare希望更多的DNS提供商能够跟上其脚步，使用户不那么容易受到DNS攻击。该公司表示，其客户可以免费激活DNSSEC，并将DS输入到权限中。