DNSSEC
DNSSEC

从端到端验证互联网。

DDSSEC 为当前互联网提供协议的工作原理

超过 15 年以来,互联网工程任务组(IETF)一直致力于为域名系统安全扩展(DNSSEC)开发可行的标准。 DNSSEC 使用公共密钥加密在权威区域数据进入系统时对其进行数字签名,然后在其目的地进行验证,以保护互联网社区免受伪造的 DNS 数据危害。 了解有关公钥加密的更多信息

数字签名帮助确保用户数据来自于规定源并且在传输中未被修改。DNSSEC 也可以确认某个 域名 不存在。这些功能对保证互联网的信任度必不可少。

在 DNSSEC 中,每个区域都有一个公钥/私钥对。区域公钥使用 DNS 发布,区域私钥通过离线方式安全、妥善的保管。区域私钥会为该区域中的个人 DNS 数据签名,同时创建同样由 DNS 发布的数字签名。

DNSSEC 采用严格的信任模型,这条信任链贯穿了父区域和子区域。高等级(父)区域会为低等级(子)区域签署或担保公钥。这些不同区域的权威名称服务器可由注册商、互联网服务提供商 (ISP)、Web 托管公司或注册人自行管理。

最终用户想要访问网站时,用户计算机上的根解析器会向递归名称服务器请求网站的 IP 地址。服务器请求该记录后,还会请求与该区域对应的 DNSSEC 密钥。使用该密钥,服务器可以验证其接收的 IP 地址记录是否与授权名称服务器上的记录一致。

如果递归名称服务器确定地址记录已被授权名称服务器发送并且在传输过程中未遭修改,递归名称服务器就会解析该域名,之后用户就可以访问该网站。上述过程称为验证。如果地址记录被更改或者不是来自规定的来源,那么递归名称服务器就不会允许用户访问欺诈地址。DNSSEC 还可以证明某个域名不存在。因此,DNS 查询和响应可以避免中间人 (MITM) 攻击以及可能将互联网用户重定向至网络钓鱼和网址嫁接网站的伪造欺诈行为的危害。