CloudFlare 5年前刚刚推出，目标是建设一个更好的互联网。这就是为什么我们很高兴地宣布，从今天开始，CloudFlare上的任何人只要一个简单的步骤就可以通过DNSSEC保护他们的流量。这是在我们免费提供SSL一年之后，在一周内，加密网络的规模增加了一倍多。今天，我们将对DNSSEC做同样的事情，今年，我们将把DNSSEC支持的web的规模扩大一倍，将DNSSEC免费提供给数以百万计的网站。如果DNS是Internet的电话簿，则DNSSEC是无法隐藏的呼叫者ID。DNSSEC确保网站的流量被安全地定向到正确的服务器，这样到网站的连接不会被路径攻击截获。解决DNS中存在数十年的漏洞每次访问网站都从DNS查询开始。当我访问cloudflare.com网站，我的浏览器首先需要找到IP地址：cloudflare.com网站A 198.41.215.163中的0.272当DNS在1983年发明时，只有少数教授和研究人员使用互联网，没有人想到会有恶作剧。因此，DNS依赖于纯粹的信任来操作；不管你收到什么样的IP地址，你的浏览器都会盲目地信任它，并试图与该服务器建立TCP连接。cloudflare.com网站A 6.6.6.6中的0.272恶意wifi网络、路由器上的攻击者、受损的ISP或任何其他路径攻击都可以操纵DNS中存在数十年的漏洞，将您连接到他们选择的任何服务器。DNS中缺乏身份验证被各国用来封锁被禁网站，被情报机构拦截流量，被服务提供商注入广告，被攻击者用来钓鱼访问者和提供恶意软件。如果我们想建立一个我们可以信任的互联网，我们必须消除这种攻击的可能性。成熟的解决方案是DNSSEC。我们的目标是在CloudFlare的每个网站上启用DNSSEC。DNSSEC保护DNS应该是期望，而不是例外。DNSSEC中如何委托信任，以及如何实现自动化在DNSSEC中，信任从根区域链接到顶级域（TLD），再到域，再到任何子域。你可以信任cloudflare.com网站在DNSSEC中，因为它由.com区域中包含的密钥验证，而您可以信任.com，因为它是由根区域中包含的密钥验证的。cloudflare.com网站ECDSA公钥：mdsswUyr3DPW132mOi8V9xESWE8jTo0dxCjjnopKl+GqJxpVXckHAeF+KKXLBXILFLUT0RAK9IUZY1L53EKGQ==SHA-256哈希cloudflare.com网站键入.com区域：32996839A6D808AFE3EB4A795A0E6AA39A76FC52FF228B22B76F6D63826F2B9在根区域中发布的.com密钥的SHA-256哈希：E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CFC41A5766DNSSEC中的密钥是可信的，因为它们的哈希存储在它们上面的区域中，允许DNS解析程序将密钥与其哈希进行比较。因此，要激活DNSSEC，网站所有者需要：从CloudFlare的仪表板复制密钥将它们粘贴到注册器的仪表板中然后，注册器用新的密钥更新注册表中包含的信息这一部分是有问题的——复制和粘贴打开了人为错误的可能性，并防止了DNSSEC在网络上的传播，如果注册商仍然没有在他们的接口中添加对协议或我们的DNSSEC密码选择的支持。如果CloudFlare可以直接与注册中心通信，那么我们就可以为CloudFlare上的每个网站自动激活DNSSEC，这相当于托管DNS的42%。如此庞大的规模可以从根本上提升互联网骨干网的信任机制。创建互联网标准在CloudFlare，我们关心的是推进互联网上的可能，因此我们已经发布了一份互联网草案，提议为CloudFlare等DNS提供商提供一个直接与注册商和注册商通信的协议。我们正在推动它成为一个公认的互联网标准RFC。世界各地的注册中心都在建立对该协议的支持，这意味着在未来一年内，CloudFlare将能够使用.ca、.cl和.ee TLD自动激活CloudFlare上成千上万个网站的DNSSEC，而无需用户管理激活。我们邀请所有注册处和注册商与我们一起朝着一个更好、更安全的网络迈进一步。如果你是一个注册或注册，并想参与其中，请通过电子邮件联系dnssec-integration@cloudflare.com。帮助我们保持互联网的可靠性。DNSSEC和CloudFlare自从三周前我们推出DNSSEC公测版以来，我们已经用DNSSEC保护了1.5亿人和210亿个网络请求。自从我们几周前开始测试以来，一些注册中心和注册商已经添加了对DNSSEC的支持，ECDSA是我们选择的密码。大吼大叫，悬停，互联网.bs以及Metaname，以及EURid（.EU）和NZRS（.NZ），使得CloudFlare上成千上万的网站现在可以打开DNSSEC。这只是个开始。现在轮到你了。加入我们，让网络变得更好。