域名系统安全扩展(DNS Security Extensions),简称DNSSEC。开启DNSSEC,可有效防止DNS欺骗和缓存污染等攻击。它是通过数字签名来保证DNS应答报文的真实性和完整性,能够保护用户不被重定向到非预期地址,从而提高用户对互联网的信任,并保护您的核心业务。
域名系统(DNS)的原始设计不包含任何安全细节;相反的,它被设计成一个可扩增的分布式系统(Distributed system)。域名系统安全扩展(DNSSEC)尝试在其中添加安全性,同时仍保持向后兼容性。
DNSSEC旨在保护应用程序(以及服务这些应用程序的缓存解析器)免受伪造或不当操纵的DNS数据所造成的影响(例如域名服务器缓存污染的数据)。来自DNSSEC保护区的所有答案都经过数字签名。通过检验数字签名,DNS解析器可以核查信息是否与区域所有者发布的信息相同(未修改和完整),并确系实际负责的DNS服务器所提供。虽然保护IP地址的正确性是许多用户关注DNSSEC的直接课题,DNSSEC还可以保护DNS中发布的其他任何数据:包括文本记录(TXT)和邮件交换记录(MX),并可用于引导发布引用存储在DNS中的加密证书的其他安全系统:例如证书记录(CERT记录),SSH指纹(SSHFP),IPSec公钥(IPSECKEY)和TLS信任锚(TLSA)。
DNSSEC 新增的资源记录 DNSSEC新增的记录如下
RRSIG 即资源记录签名(英语:Resource Record Signature),资源记录除了A和AAAA之外,也包括DNSKEY、DS、NSEC等记录,RRSIG用于存放各个资源记录的签名,包括
算法类型 标签 (泛解析中原先 RRSIG 记录的名称) 原 TTL 大小 签名失效时间 签名签署时间 Key 标签 (用来迅速判断应该用那个 DNSKEY 记录来验证的一个数值) 签名名称 (用于验证该签名的 DNSKEY 名称) 签名 DNSKEY 该记录用于存放用于检查 RRSIG 的公钥。其包括
标识符 (Zone Key (DNSSEC密钥集) 以及 Secure Entry Point (KSK和简单密钥集)) 协议 (固定值3 向下兼容) 算法类型 公钥内容 DS 即委派签名者(英语:Deligated Signer),该记录用于存放 DNSKEY 中公钥的散列值 ,包括
Key 标签:用来判断应该用哪个 DNSKEY 记录进行验证的一个数值 算法类型:常见的有RSASHA1、RSASHA256、ECDSAP256SHA256,具体可参考附录“算法类型列表” 摘要类型:创建摘要值的加密散列算法,主要使用SHA256,具体可参考附录“摘要类型列表” 摘要内容: 一串散列数据,由DNSKEY经由摘要类型算法得出 NSEC和NSEC3 即下一个安全(英语:Next Secure)记录,用于明确表示特定域名的记录不存在。
CDNSKEY和CDS 用于请求对父区域中的 DS 记录进行更新的子区域。
打印
|