DNSSEC 为当前互联网提供协议的工作原理

互联网工程任务组 (IETF) 已经为域名系统安全扩展 (DNSSEC) 提供标准工作了多年。DNSSEC 保护互联网用户和应用免受伪造域名系统 (DNS) 数据的危害，其使用公钥加密在授权区域数据进入 DNS 时进行数字签名，然后在目的地址进行验证。详细了解更多有关公钥加密的信息。

数字签名帮助确保用户数据来自于规定源并且在传输中未被修改。DNSSEC 也可以确认域名不存在。这些功能对保证互联网的信任度必不可少。

在 DNSSEC 中，每个区域都有至少一个公钥/私钥对。区域公钥使用 DNS 发布，区域私钥通过离线方式安全、妥善的保管。区域私钥会为该区域中的个人 DNS 数据记录签名，同时创建同样由 DNS 发布的数字签名。

DNSSEC 采用严格的信任模型，这条信任链贯穿了父区域和子区域。高等级（父）区域会为低等级（子）区域签署公钥时，信任链就建立起来。这些不同区域的权威名称服务器可由注册商、互联网服务提供商 (ISP)、Web 托管公司或注册人自行管理。

最终用户想要访问网站（或任何互联网资源）时，用户计算机上的根解析器会向递归名称服务器请求网站的 IP 地址。当递归名称服务器请求地址记录时，还会请求与该区域对应的 DNSSEC 密钥。使用该密钥，递归名称服务器可以验证其接收的 IP 地址记录是否与授权名称服务器上的记录一致。

如果递归名称服务器确定地址记录已被授权名称服务器发送并且在传输过程中未遭修改，递归名称服务器就会解析该域名（提供请求的 IP 地址），之后用户就可以访问该网站。这个完整性检查过程被称为“验证”。如果地址记录被更改，那么递归名称服务器就不会允许用户访问欺诈地址。DNSSEC 还可以证明某个域名不存在。因此，DNS 查询和响应可以避免中间人 (MITM) 攻击以及可能将互联网用户重定向至网络钓鱼和网址嫁接网站的伪造欺诈行为的危害。