1、什么是DNSSEC
DNSSEC是“Domain Name System Security Extensions”的缩写,代表域名系统安全扩展,允许域名所有者对DNS记录进行数字签名,签名DNS记录的私有签名密钥通常仅由合法域名所有者持有,因此可防止未经授权的第三方修改DNS条目。
DNSSEC是由IETF提供的一系列DNS安全认证的机制,诞生于1997年,已经列入互联网标准化文档(参考RFC 4033、RFC 4034、RFC 4035)
DNSSEC是什么? 有什么作用?
2、DNSSEC的作用是什么?
DNSSEC 通过使用公钥加密来为授权区域数据进行数字签名,让互联网社区免受伪造 DNS 数据的危害。DNSSEC 验证能够向用户确保数据来自规定的来源,并且在传输过程中未遭修改。DNSSEC 还可以证明某个域名不存在。
尽管 DNSSEC 增强了 DNS 的安全性,但也不是一种全面的解决方案。它不能抵御分布式拒绝服务 (DDoS) 攻击,不能确保信息交换的机密性,不能加密网站数据以及防止 IP 地址欺骗和网络钓鱼。要使互联网更加安全,其他层次的防护也至关重要,例如 DDoS 攻击缓解、安全情报、安全套接字层 (SSL) 加密和站点验证,以及双重验证。这些机制应当与 DNSSEC 组合使用。
3、DNSSEC的工作原理是什么?
在 DNSSEC 中,每个区域都有一个公钥/私钥对。区域公钥使用 DNS 发布,区域私钥通过离线方式安全、妥善的保管。区域私钥会为该区域中的个人 DNS 数据签名,同时创建同样由 DNS 发布的数字签名。DNSSEC 采用严格的信任模型,这条信任链贯穿了父区域和子区域。高等级(父)区域会为低等级(子)区域签署或担保公钥。这些区域的授权名称服务器可由注册商、ISP、web 托管公司或网站运营商(注册人)自己管理。
当最终用户想访问网站时,用户操作系统中的根解析器会向 ISP 处的递归名称服务器请求域名记录。服务器请求该记录后,还会请求与该区域对应的 DNSSEC 密钥。该密钥允许服务器验证其接收的信息是否与授权名称服务器上的记录一致。
如果递归名称服务器确定地址记录已被授权名称服务器发送并且在传输过程中未遭修改,递归名称服务器就会解析该域名,之后用户就可以访问该网站。上述过程称为验证。如果地址记录被更改或者不是来自规定的来源,那么递归名称服务器就不会允许用户访问欺诈地址。DNSSEC 还可以证明某个域名不存在。
4、谁采用了DNSSEC
互联网根域、.gov、.org、.museum 等顶级域 (TLD) 以及大量国家代码 TLD (ccTLD) 都已为所管理的区域签名。.edu、.net 和 .com 等其他 TLD 在 2010 和 2011 年部署了 DNSSEC。这些 TLD 已经开始接受 DNSSEC 签名的二级域名。Comcast 等大型 ISP 已在递归名称服务器上启用验证机制来响应用户查询,同时,一些注册商已经在他们的规划蓝图中加入了 DNSSEC 部署。此外,互联网名称与数字地址分配机构 (ICANN) 已为新 TLD 开放申请,有可能会在审批新 TLD 申请时将 DNSSEC 部署作为通过条件之一。
5、部署 DNSSEC后,我还需要安全套接字层 (SSL) 吗?
尽管 DNSSEC 和 SSL 都依赖于公钥加密,但它们作用各异且相互补充,并非互相取代的关系。简单的说,DNSSEC 处理“在哪里”的问题,而 SSL 处理“谁”和“怎么做”的问题。
在哪里:DNSSEC 使用数字签名来验证 DNS 数据的完整性,从而确保用户可以到达预期的 IP 地址。用户登录该地址后 DNSSEC 的任务就结束了。DNSSEC 无法确保该地址对应实体的身份,也不会对用户同该站点之间的互动进行加密。
谁:SSL 使用数字证书来验证站点的身份。这些证书由规范的第三方授权机构 (CA) 发布(如沃通CA),SSL 由此来让用户确定该网站所有者的身份。但是,SSL 不能确保用户登录的站点正确,所以它不能抵御那些能重定向用户的攻击。换而言之,SSL 站点验证十分有效,但前提是用户得先登录到目标站点。
怎么做:SSL 还使用数字证书来加密用户和站点之间的数据交换,从而保护金融交易、通信、电子商务和其他敏感互动行为的机密性。
DNSSEC 和 SSL 的共存可以让互联网更加安全可靠:用户可以确定要登录的地址、与之互动的人以及互动行为的机密性。
以上本篇文章的全部内容了,感兴趣的小伙伴可以看看,更多精彩内容关注腾轩网www.tengxuanw.com