1、什么是DNSSEC

DNSSEC是“Domain Name System Security Extensions”的縮寫，代表域名系統(tǒng)安全擴展，允許域名所有者對DNS記錄進行數(shù)字簽名，簽名DNS記錄的私有簽名密鑰通常僅由合法域名所有者持有，因此可防止未經(jīng)授權(quán)的第三方修改DNS條目。

DNSSEC是由IETF提供的一系列DNS安全認證的機制，誕生于1997年，已經(jīng)列入互聯(lián)網(wǎng)標準化文檔（參考RFC 4033、RFC 4034、RFC 4035）

2、DNSSEC的作用是什么

DNSSEC 通過使用公鑰加密來為授權(quán)區(qū)域數(shù)據(jù)進行數(shù)字簽名，讓互聯(lián)網(wǎng)社區(qū)免受偽造 DNS 數(shù)據(jù)的危害。DNSSEC 驗證能夠向用戶確保數(shù)據(jù)來自規(guī)定的來源，并且在傳輸過程中未遭修改。DNSSEC 還可以證明某個域名不存在。

盡管 DNSSEC 增強了 DNS 的安全性，但也不是一種全面的解決方案。它不能抵御分布式拒絕服務 (DDoS) 攻擊，不能確保信息交換的機密性，不能加密網(wǎng)站數(shù)據(jù)以及防止 IP 地址欺騙和網(wǎng)絡釣魚。要使互聯(lián)網(wǎng)更加安全，其他層次的防護也至關(guān)重要，例如 DDoS 攻擊緩解、安全情報、安全套接字層 (SSL) 加密和站點驗證，以及雙重驗證。這些機制應當與 DNSSEC 組合使用。

3、DNSSEC的工作原理是什么？

在 DNSSEC 中，每個區(qū)域都有一個公鑰/私鑰對。區(qū)域公鑰使用 DNS 發(fā)布，區(qū)域私鑰通過離線方式安全、妥善的保管。區(qū)域私鑰會為該區(qū)域中的個人 DNS 數(shù)據(jù)簽名，同時創(chuàng)建同樣由 DNS 發(fā)布的數(shù)字簽名。DNSSEC 采用嚴格的信任模型，這條信任鏈貫穿了父區(qū)域和子區(qū)域。高等級（父）區(qū)域會為低等級（子）區(qū)域簽署或擔保公鑰。這些區(qū)域的授權(quán)名稱服務器可由注冊商、ISP、web 托管公司或網(wǎng)站運營商（注冊人）自己管理。

當最終用戶想訪問網(wǎng)站時，用戶操作系統(tǒng)中的根解析器會向 ISP 處的遞歸名稱服務器請求域名記錄。服務器請求該記錄后，還會請求與該區(qū)域?qū)?DNSSEC 密鑰。該密鑰允許服務器驗證其接收的信息是否與授權(quán)名稱服務器上的記錄一致。

如果遞歸名稱服務器確定地址記錄已被授權(quán)名稱服務器發(fā)送并且在傳輸過程中未遭修改，遞歸名稱服務器就會解析該域名，之后用戶就可以訪問該網(wǎng)站。上述過程稱為驗證。如果地址記錄被更改或者不是來自規(guī)定的來源，那么遞歸名稱服務器就不會允許用戶訪問欺詐地址。DNSSEC 還可以證明某個域名不存在。

4、誰采用了DNSSEC

互聯(lián)網(wǎng)根域、.gov、.org、.museum 等頂級域 (TLD) 以及大量國家代碼 TLD (ccTLD) 都已為所管理的區(qū)域簽名。.edu、.net 和 .com 等其他 TLD 在 2010 和 2011 年部署了 DNSSEC。這些 TLD 已經(jīng)開始接受 DNSSEC 簽名的二級域名。Comcast 等大型 ISP 已在遞歸名稱服務器上啟用驗證機制來響應用戶查詢，同時，一些注冊商已經(jīng)在他們的規(guī)劃藍圖中加入了 DNSSEC 部署。此外，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu) (ICANN) 已為新 TLD 開放申請，有可能會在審批新 TLD 申請時將 DNSSEC 部署作為通過條件之一。

5、部署 DNSSEC后，我還需要安全套接字層 (SSL) 嗎？

盡管 DNSSEC 和 SSL 都依賴于公鑰加密，但它們作用各異且相互補充，并非互相取代的關(guān)系。簡單的說，DNSSEC 處理“在哪里”的問題，而 SSL 處理“誰”和“怎么做”的問題。

在哪里：DNSSEC 使用數(shù)字簽名來驗證 DNS 數(shù)據(jù)的完整性，從而確保用戶可以到達預期的 IP 地址。用戶登錄該地址后 DNSSEC 的任務就結(jié)束了。DNSSEC 無法確保該地址對應實體的身份，也不會對用戶同該站點之間的互動進行加密。

誰：SSL 使用數(shù)字證書來驗證站點的身份。這些證書由規(guī)范的第三方授權(quán)機構(gòu) (CA) 發(fā)布（如沃通CA），SSL 由此來讓用戶確定該網(wǎng)站所有者的身份。但是，SSL 不能確保用戶登錄的站點正確，所以它不能抵御那些能重定向用戶的攻擊。換而言之，SSL 站點驗證十分有效，但前提是用戶得先登錄到目標站點。

怎么做：SSL 還使用數(shù)字證書來加密用戶和站點之間的數(shù)據(jù)交換，從而保護金融交易、通信、電子商務和其他敏感互動行為的機密性。

DNSSEC 和 SSL 的共存可以讓互聯(lián)網(wǎng)更加安全可靠：用戶可以確定要登錄的地址、與之互動的人以及互動行為的機密性。

主機吧推薦網(wǎng)站服務器部署超級SSL證書BaiduTrust，在瀏覽器上顯示綠色地址欄及單位名稱，讓網(wǎng)站的顯示內(nèi)容具有唯一性，更難以被復制仿冒，有效防止各類網(wǎng)絡釣魚攻擊。此外，弱口令密碼極易被黑客以釣魚攻擊方式獲取，建議網(wǎng)站為每項服務啟用雙因素身份驗證，提高在線賬戶的安全性。

以上，是為大家分享的“DNSSEC的工作原理和作用”的全部內(nèi)容，如果用戶遇到的問題不能解決，可直接聯(lián)系主機吧咨詢。