Loading AI tools
来自维基百科,自由的百科全书
域名系统安全扩展(英語:Domain Name System Security Extensions,縮寫為DNSSEC)是Internet工程任务组 (IETF)的对确保由域名系统 (DNS)中提供的关于互联网协议(IP)网络使用特定类型的信息规格套件。它是对DNS提供给DNS客户端(解析器)的DNS数据来源进行认证,并验证不存在性和校验数据完整性验证,但不提供机密性和可用性[1]。
此條目可参照英語維基百科相應條目来扩充。 (2021年10月24日) |
域名系統(DNS)的原始設計不包含任何安全細節;相反的,它被設計成一個可擴增的分散式系統(Distributed system)。域名系統安全擴展(DNSSEC)嘗試在其中添加安全性,同時仍保持向後兼容性。 RFC 3833記錄了DNS的一些已知威脅以及DNSSEC如何應對這些威脅。
DNSSEC旨在保護應用程式(以及服務這些應用程式的緩存解析器)免受偽造或不當操縱的DNS數據所造成的影響(例如域名服务器缓存污染的數據)。來自DNSSEC保護區的所有答案都經過數位簽章。通過檢驗數位簽章,DNS解析器可以核查信息是否與區域所有者發布的信息相同(未修改和完整),並確係實際負責的DNS服務器所提供。雖然保護IP地址的正確性是許多用戶關注DNSSEC的直接課題,DNSSEC還可以保護DNS中發布的其他任何數據:包括文本記錄(TXT)和郵件交換記錄(MX),並可用於引導發布參照存儲在DNS中的加密證書的其他安全系統:例如證書記錄(CERT記錄,RFC 4398),SSH指紋(SSHFP,RFC 4255),IPSec公鑰(IPSECKEY,RFC 4025)和TLS信任錨(TLSA,RFC 6698)。
DNSSEC新增的记录如下[2]
即资源记录签名(英語:Resource Record Signature),资源记录除了A和AAAA之外,也包括DNSKEY、DS、NSEC等记录,RRSIG用于存放各个资源记录的签名,包括
该记录用于存放用于检查 RRSIG 的公钥。其包括
即委派签名者(英語:Deligated Signer),该记录用于存放 DNSKEY 中公钥的散列值 ,包括
即下一个安全(英語:Next Secure)记录,用于明确表示特定域名的记录不存在。
用于请求对父区域中的 DS 记录进行更新的子区域。
2010年7月18日,根域名服務器(root-servers.net)已经完成DNSSEC签名[3]。
目前已部署在.com、.net、.org、.int、.edu、.mil和.gov等頂級域(gTLD),以及部分国家和地区顶级域(ccTLD)[4]。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.