DNSSEC的工作原理和作用
发布日期:2019-03-081、什么是DNSSEC
DNSSEC是“Domain Name System Security Extensions”的缩写,代表域名系统安全扩展,允许域名所有者对DNS记录进行数字签名,签名DNS记录的私有签名密钥通常仅由合法域名所有者持有,因此可防止未经授权的第三方修改DNS条目。
DNSSEC是由IETF提供的一系列DNS安全认证的机制,诞生于1997年,已经列入互联网标准化文档(参考RFC 4033、RFC 4034、RFC 4035)
2、DNSSEC的作用是什么
DNSSEC 通过使用公钥加密来为授权区域数据进行数字签名,让互联网社区免受伪造 DNS 数据的危害。DNSSEC 验证能够向用户确保数据来自规定的来源,并且在传输过程中未遭修改。DNSSEC 还可以证明某个域名不存在。
尽管 DNSSEC 增强了 DNS 的安全性,但也不是一种全面的解决方案。它不能抵御分布式拒绝服务 (DDoS) 攻击,不能确保信息交换的机密性,不能加密网站数据以及防止 IP 地址欺骗和网络钓鱼。要使互联网更加安全,其他层次的防护也至关重要,例如 DDoS 攻击缓解、安全情报、安全套接字层 (SSL) 加密和站点验证,以及双重验证。这些机制应当与 DNSSEC 组合使用。
3、DNSSEC的工作原理是什么?
在 DNSSEC 中,每个区域都有一个公钥/私钥对。区域公钥使用 DNS 发布,区域私钥通过离线方式安全、妥善的保管。区域私钥会为该区域中的个人 DNS 数据签名,同时创建同样由 DNS 发布的数字签名。DNSSEC 采用严格的信任模型,这条信任链贯穿了父区域和子区域。高等级(父)区域会为低等级(子)区域签署或担保公钥。这些区域的授权名称服务器可由注册商、ISP、web 托管公司或网站运营商(注册人)自己管理。
当最终用户想访问网站时,用户操作系统中的根解析器会向 ISP 处的递归名称服务器请求域名记录。服务器请求该记录后,还会请求与该区域对应的 DNSSEC 密钥。该密钥允许服务器验证其接收的信息是否与授权名称服务器上的记录一致。
如果递归名称服务器确定地址记录已被授权名称服务器发送并且在传输过程中未遭修改,递归名称服务器就会解析该域名,之后用户就可以访问该网站。上述过程称为验证。如果地址记录被更改或者不是来自规定的来源,那么递归名称服务器就不会允许用户访问欺诈地址。DNSSEC 还可以证明某个域名不存在。
4、谁采用了DNSSEC
互联网根域、.gov、.org、.museum 等顶级域 (TLD) 以及大量国家代码 TLD (ccTLD) 都已为所管理的区域签名。.edu、.net 和 .com 等其他 TLD 在 2010 和 2011 年部署了 DNSSEC。这些 TLD 已经开始接受 DNSSEC 签名的二级域名。Comcast 等大型 ISP 已在递归名称服务器上启用验证机制来响应用户查询,同时,一些注册商已经在他们的规划蓝图中加入了 DNSSEC 部署。此外,互联网名称与数字地址分配机构 (ICANN) 已为新 TLD 开放申请,有可能会在审批新 TLD 申请时将 DNSSEC 部署作为通过条件之一。
5、部署 DNSSEC后,我还需要安全套接字层 (SSL) 吗?
尽管 DNSSEC 和 SSL 都依赖于公钥加密,但它们作用各异且相互补充,并非互相取代的关系。简单的说,DNSSEC 处理“在哪里”的问题,而 SSL 处理“谁”和“怎么做”的问题。
在哪里:DNSSEC 使用数字签名来验证 DNS 数据的完整性,从而确保用户可以到达预期的 IP 地址。用户登录该地址后 DNSSEC 的任务就结束了。DNSSEC 无法确保该地址对应实体的身份,也不会对用户同该站点之间的互动进行加密。
谁:SSL 使用数字证书来验证站点的身份。这些证书由规范的第三方授权机构 (CA) 发布(如沃通CA),SSL 由此来让用户确定该网站所有者的身份。但是,SSL 不能确保用户登录的站点正确,所以它不能抵御那些能重定向用户的攻击。换而言之,SSL 站点验证十分有效,但前提是用户得先登录到目标站点。
怎么做:SSL 还使用数字证书来加密用户和站点之间的数据交换,从而保护金融交易、通信、电子商务和其他敏感互动行为的机密性。
DNSSEC 和 SSL 的共存可以让互联网更加安全可靠:用户可以确定要登录的地址、与之互动的人以及互动行为的机密性。
沃通CA推荐网站服务器部署超安EV SSL证书,在浏览器上显示绿色地址栏及单位名称,让网站的显示内容具有唯一性,更难以被复制仿冒,有效防止各类网络钓鱼攻击。此外,弱口令密码极易被黑客以钓鱼攻击方式获取,建议网站为每项服务启用双因素身份验证,提高在线账户的安全性。
以上,是为大家分享的“DNSSEC的工作原理和作用”的全部内容,如果用户遇到的问题不能解决,可通过wosign官网客服寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持,免除后顾之忧。
相关资讯
安全传输协议https应用越来越广泛,使用SSL证书的站点也越来越多。很多网站在应用ssl证书的时候往往不知道该怎么安装证书,本文给大家介绍常见的服务器SSL证书安装方法。
前面的文章我们介绍了服务器SSL证书备份方法,那备份了服务器SSL证书后,重装系统后怎么导入证书呢?本文给大家介绍服务器SSL证书重新导入方法,本文主要针对中文版 Windows 2003 Server 操作系统举例说明。
最新资讯
Windows\Apple\Mozilla\Android删除根证书的方法
标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书