電子郵件說簡單可以非常簡單,因為當時電子郵件剛發明時的時空背景沒有考慮到安全性的問題,要收發電子郵件的門檻非常的低;但是為了反制垃圾信件或是偽造信件等問題,基於SMTP之上的附加防護陸續被開發出來,本文會簡單帶過電子郵件的安全問題,至於如何設定還請各位自行精進了。
DNS
在Cloudflare啟用真正安全的嚴格SSL
Cloudflare提供了免費的SSL功能,但是分為了靈活的SSL與嚴格的SSL;靈活的SSL完無法讓你的網站獲得真正的安全,但是我看網路上的文章有僅只於此,嚴格的SSL才是對你的讀者負責任的方式,不然就只是欺騙你的讀者信任你的網站而已。
但是我目前找不到教學教大家設定SSL,所以本篇就是來教大家啟用嚴格的SSL。
DNSSEC的工作原理
網域名稱系統 (DNS) 如同網際網路的電話簿;它告訴電腦要去哪裡存取資料。然而不幸的是,它接受任何位置的回應,不經過任何驗證。
電子郵件伺服器使用 DNS 路由它們的信件,這意味著它們在安全上處於弱勢。2014 年 9 月, CMU 的研究人員發現發送給Yahoo!、Gmail的郵件經過了不明的伺服器。攻擊者利用一個已經存於DNS系統幾十年的老漏洞—— 它並不會進行任何檢查就接受結果。
而解決這問題的最終方案是DNSSEC,它藉由提交驗證資訊在上級域名伺服器;例如當一個DNS要求解析blog.cloudflare.com時 .com 會負責驗證它是正確的被指向cloudflare,然後Cloudflare會負責驗證它正確地被指向blog。而 .com的驗證是交由根伺服器(事實上,所有頂級域都是由根伺服器解析)進行,這是通過了一個公開的安全審核(一般來說,我們無條件相信root伺服器),這是經過了DNSSEC簽約儀式(The DNSSEC Root Signing Ceremony)。