什么是DNSSEC?
了解 DNSSEC 首先需要了解 DNS 系统的工作原理。
DNS 用于将域名(例如 example.com)转换为数字 Internet 地址(例如 198.161.0.1)。
虽然这种地址系统对于计算机读取和处理数据的效率很高,但人们很难记住。假设每次你需要查看一个网站时,你应该记住它所在机器的IP地址。人们常将 DNS 系统称为“互联网电话簿”。
为了解决这个问题,每个域名都附加了一个数字 IP 地址。我们知道的网站地址实际上是域名。
域名信息在称为域名服务器的特殊服务器上存储和访问,这些服务器将域名转换为 IP 地址,反之亦然。
DNS 的顶层位于根区域,所有 IP 地址和域名都保存在数据库中,并按顶级域名排序,例如 .com、.net、.org 等。
DNS 刚开始实施时并没有受到保护,在投入使用后不久,就发现了几个漏洞。结果,以可以添加到现有 DNS 协议的扩展形式开发了一个安全系统。
域名系统安全扩展 (DNSSEC) 是一组协议,为域名系统 (DNS) 查找和交换过程增加了一层安全性,这已成为通过 Internet 访问网站不可或缺的一部分。
DNSSEC 的优势
DNSSEC 旨在通过帮助保护用户免于重定向到欺诈性网站和非预期地址来加强对 Internet 的信任。 通过这种方式,可以防止诸如缓存中毒、域名移植和中间人攻击等恶意活动。
DNSSEC 使用加密签名对 IP 地址的解析进行身份验证,以确保 DNS 服务器提供的答案有效且真实。 如果您的域名正确启用了 DNSSEC,则可以确保访问者连接到与特定域名对应的实际网站。
DNSSEC 的工作原理
DNSSEC 的最初目的是通过验证嵌入在数据中的数字签名来保护 Internet 客户端免受伪造 DNS 数据的侵害。
当访问者在浏览器中输入域名时,解析器会验证数字签名。
如果数据中的数字签名与存储在主 DNS 服务器中的数字签名匹配,则允许数据访问发出请求的客户端计算机。
DNSSEC 数字签名可确保您与您打算访问的站点或 Internet 位置进行通信。
DNSSEC 使用公钥和数字签名系统来验证数据。它只是将新记录与现有记录一起添加到 DNS。这些新的记录类型,例如 RRSIG 和 DNSKEY,可以通过与 A、CNAME 和 MX 等常见记录相同的方式进行检索。
这些新记录用于使用称为公钥加密的方法对域进行数字“签名”。
签名的名称服务器对每个区域都有一个公钥和私钥。当有人提出请求时,它会发送使用其私钥签名的信息;然后接收者用公钥将其解锁。如果第三方试图发送不可信的信息,它将无法使用公钥正确解锁,因此接收者会知道该信息是虚假的。
请注意,DNSSEC 不提供数据机密性,因为它不包括加密算法。它仅携带验证 DNS 数据是否真实可用所需的密钥。
此外,DNSSEC 不能防御 DDoS 攻击。
DNSSEC 使用的密钥
DNSSEC 使用两种类型的密钥:
· 区域签名密钥 (ZSK) – 用于对区域内的各个记录集进行签名和验证。· 密钥签名密钥 (KSK) – 用于对区域中的 DNSKEY 记录进行签名。
这两个密钥都存储为区域文件中的“DNSKEY”记录。
域名DNSSEC怎么设置
查看 DS 记录
DS 记录代表委托签名者,它包含您的公钥的唯一字符串以及有关密钥的元数据,例如它使用的算法。
每条 DS 记录由四个字段组成:KeyTag、Algorithm、DigestType 和 Digest,如下所示:
我们可以分解 DS 记录的不同组成部分,以查看每个部分包含哪些信息:Example.com。 – DS 的域名。3600 – TTL,记录可能保留在缓存中的时间。IN 代表互联网。2371 – 密钥标签,密钥的 ID。13 – 算法类型。 DNSSEC 中每个允许的算法都有一个指定的编号。 算法 13 是使用 SHA-256 的具有 P-256 曲线的 ECDSA。2 – 摘要类型,或用于从公钥生成摘要的散列函数。末尾的长字符串是摘要,或公钥的散列。
所有 DS 记录必须符合 RFC 3658。
TagsDNSSEC