1、什么是DNSSEC

DNSSEC是“Domain Name System Security Extensions”的縮寫，代表域名系統(tǒng)安全擴(kuò)展，允許域名所有者對(duì)DNS記錄進(jìn)行數(shù)字簽名，簽名DNS記錄的私有簽名密鑰通常僅由合法域名所有者持有，因此可防止未經(jīng)授權(quán)的第三方修改DNS條目。

DNSSEC是由IETF提供的一系列DNS安全認(rèn)證的機(jī)制，誕生于1997年，已經(jīng)列入互聯(lián)網(wǎng)標(biāo)準(zhǔn)化文檔（參考RFC 4033、RFC 4034、RFC 4035）

2、DNSSEC的作用是什么

DNSSEC 通過使用公鑰加密來(lái)為授權(quán)區(qū)域數(shù)據(jù)進(jìn)行數(shù)字簽名，讓互聯(lián)網(wǎng)社區(qū)免受偽造 DNS 數(shù)據(jù)的危害。DNSSEC 驗(yàn)證能夠向用戶確保數(shù)據(jù)來(lái)自規(guī)定的來(lái)源，并且在傳輸過程中未遭修改。DNSSEC 還可以證明某個(gè)域名不存在。

盡管 DNSSEC 增強(qiáng)了 DNS 的安全性，但也不是一種全面的解決方案。它不能抵御分布式拒絕服務(wù) (DDoS) 攻擊，不能確保信息交換的機(jī)密性，不能加密網(wǎng)站數(shù)據(jù)以及防止 IP 地址欺騙和網(wǎng)絡(luò)釣魚。要使互聯(lián)網(wǎng)更加安全，其他層次的防護(hù)也至關(guān)重要，例如 DDoS 攻擊緩解、安全情報(bào)、安全套接字層 (SSL) 加密和站點(diǎn)驗(yàn)證，以及雙重驗(yàn)證。這些機(jī)制應(yīng)當(dāng)與 DNSSEC 組合使用。

3、DNSSEC的工作原理是什么？

在 DNSSEC 中，每個(gè)區(qū)域都有一個(gè)公鑰/私鑰對(duì)。區(qū)域公鑰使用 DNS 發(fā)布，區(qū)域私鑰通過離線方式安全、妥善的保管。區(qū)域私鑰會(huì)為該區(qū)域中的個(gè)人 DNS 數(shù)據(jù)簽名，同時(shí)創(chuàng)建同樣由 DNS 發(fā)布的數(shù)字簽名。DNSSEC 采用嚴(yán)格的信任模型，這條信任鏈貫穿了父區(qū)域和子區(qū)域。高等級(jí)（父）區(qū)域會(huì)為低等級(jí)（子）區(qū)域簽署或擔(dān)保公鑰。這些區(qū)域的授權(quán)名稱服務(wù)器可由注冊(cè)商、ISP、web 托管公司或網(wǎng)站運(yùn)營(yíng)商（注冊(cè)人）自己管理。

當(dāng)最終用戶想訪問網(wǎng)站時(shí)，用戶操作系統(tǒng)中的根解析器會(huì)向 ISP 處的遞歸名稱服務(wù)器請(qǐng)求域名記錄。服務(wù)器請(qǐng)求該記錄后，還會(huì)請(qǐng)求與該區(qū)域?qū)?yīng)的 DNSSEC 密鑰。該密鑰允許服務(wù)器驗(yàn)證其接收的信息是否與授權(quán)名稱服務(wù)器上的記錄一致。

如果遞歸名稱服務(wù)器確定地址記錄已被授權(quán)名稱服務(wù)器發(fā)送并且在傳輸過程中未遭修改，遞歸名稱服務(wù)器就會(huì)解析該域名，之后用戶就可以訪問該網(wǎng)站。上述過程稱為驗(yàn)證。如果地址記錄被更改或者不是來(lái)自規(guī)定的來(lái)源，那么遞歸名稱服務(wù)器就不會(huì)允許用戶訪問欺詐地址。DNSSEC 還可以證明某個(gè)域名不存在。

4、誰(shuí)采用了DNSSEC

互聯(lián)網(wǎng)根域、.gov、.org、.museum 等頂級(jí)域 (TLD) 以及大量國(guó)家代碼 TLD (ccTLD) 都已為所管理的區(qū)域簽名。.edu、.net 和 .com 等其他 TLD 在 2010 和 2011 年部署了 DNSSEC。這些 TLD 已經(jīng)開始接受 DNSSEC 簽名的二級(jí)域名。Comcast 等大型 ISP 已在遞歸名稱服務(wù)器上啟用驗(yàn)證機(jī)制來(lái)響應(yīng)用戶查詢，同時(shí)，一些注冊(cè)商已經(jīng)在他們的規(guī)劃藍(lán)圖中加入了 DNSSEC 部署。此外，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu) (ICANN) 已為新 TLD 開放申請(qǐng)，有可能會(huì)在審批新 TLD 申請(qǐng)時(shí)將 DNSSEC 部署作為通過條件之一。

5、部署 DNSSEC后，我還需要安全套接字層 (SSL) 嗎？

盡管 DNSSEC 和 SSL 都依賴于公鑰加密，但它們作用各異且相互補(bǔ)充，并非互相取代的關(guān)系。簡(jiǎn)單的說，DNSSEC 處理“在哪里”的問題，而 SSL 處理“誰(shuí)”和“怎么做”的問題。

在哪里：DNSSEC 使用數(shù)字簽名來(lái)驗(yàn)證 DNS 數(shù)據(jù)的完整性，從而確保用戶可以到達(dá)預(yù)期的 IP 地址。用戶登錄該地址后 DNSSEC 的任務(wù)就結(jié)束了。DNSSEC 無(wú)法確保該地址對(duì)應(yīng)實(shí)體的身份，也不會(huì)對(duì)用戶同該站點(diǎn)之間的互動(dòng)進(jìn)行加密。

誰(shuí)：SSL 使用數(shù)字證書來(lái)驗(yàn)證站點(diǎn)的身份。這些證書由規(guī)范的第三方授權(quán)機(jī)構(gòu) (CA) 發(fā)布（如沃通CA），SSL 由此來(lái)讓用戶確定該網(wǎng)站所有者的身份。但是，SSL 不能確保用戶登錄的站點(diǎn)正確，所以它不能抵御那些能重定向用戶的攻擊。換而言之，SSL 站點(diǎn)驗(yàn)證十分有效，但前提是用戶得先登錄到目標(biāo)站點(diǎn)。

怎么做：SSL 還使用數(shù)字證書來(lái)加密用戶和站點(diǎn)之間的數(shù)據(jù)交換，從而保護(hù)金融交易、通信、電子商務(wù)和其他敏感互動(dòng)行為的機(jī)密性。

DNSSEC 和 SSL 的共存可以讓互聯(lián)網(wǎng)更加安全可靠：用戶可以確定要登錄的地址、與之互動(dòng)的人以及互動(dòng)行為的機(jī)密性。

主機(jī)吧推薦網(wǎng)站服務(wù)器部署超級(jí)SSL證書BaiduTrust，在瀏覽器上顯示綠色地址欄及單位名稱，讓網(wǎng)站的顯示內(nèi)容具有唯一性，更難以被復(fù)制仿冒，有效防止各類網(wǎng)絡(luò)釣魚攻擊。此外，弱口令密碼極易被黑客以釣魚攻擊方式獲取，建議網(wǎng)站為每項(xiàng)服務(wù)啟用雙因素身份驗(yàn)證，提高在線賬戶的安全性。

以上，是為大家分享的“DNSSEC的工作原理和作用”的全部?jī)?nèi)容，如果用戶遇到的問題不能解決，可直接聯(lián)系主機(jī)吧咨詢。