域名系统安全扩展

域名系统安全扩展（英語：Domain Name System Security Extensions，縮寫為DNSSEC）是Internet工程任务组 （IETF）的对确保由域名系统 （DNS）中提供的关于互联网协议（IP）网络使用特定类型的信息规格套件。它是对DNS提供给DNS客户端（解析器）的DNS数据来源进行认证，并验证不存在性和校验数据完整性验证，但不提供机密性和可用性^[1]。

概述

域名系統（DNS）的原始設計不包含任何安全細節；相反的，它被設計成一個可擴增的分散式系統(Distributed system)。域名系統安全擴展（DNSSEC）嘗試在其中添加安全性，同時仍保持向後兼容性。 RFC 3833記錄了DNS的一些已知威脅以及DNSSEC如何應對這些威脅。

DNSSEC旨在保護應用程式（以及服務這些應用程式的緩存解析器）免受偽造或不當操縱的DNS數據所造成的影響（例如域名服务器缓存污染的數據）。來自DNSSEC保護區的所有答案都經過數位簽章。通過檢驗數位簽章，DNS解析器可以核查信息是否與區域所有者發布的信息相同（未修改和完整），並確係實際負責的DNS服務器所提供。雖然保護IP地址的正確性是許多用戶關注DNSSEC的直接課題，DNSSEC還可以保護DNS中發布的其他任何數據：包括文本記錄（TXT）和郵件交換記錄（MX），並可用於引導發布參照存儲在DNS中的加密證書的其他安全系統：例如證書記錄（CERT記錄，RFC 4398），SSH指紋（SSHFP，RFC 4255），IPSec公鑰（IPSECKEY，RFC 4025）和TLS信任錨（英语：Trust anchor）（TLSA，RFC 6698）。

DNSSEC 新增的资源记录

DNSSEC新增的记录如下^[2]

RRSIG

即资源记录签名（英語：Resource Record Signature），资源记录除了A和AAAA之外，也包括DNSKEY、DS、NSEC等记录，RRSIG用于存放各个资源记录的签名，包括

• 算法类型
• 标签 (泛解析中原先 RRSIG 记录的名称)
• 原 TTL 大小
• 签名失效时间
• 签名签署时间
• Key 标签 (用来迅速判断应该用那个 DNSKEY 记录来验证的一个数值)
• 签名名称 (用于验证该签名的 DNSKEY 名称)
• 签名

DNSKEY

该记录用于存放用于检查 RRSIG 的公钥。其包括

• 标识符 (Zone Key (DNSSEC密钥集) 以及 Secure Entry Point (KSK和简单密钥集))
• 协议 (固定值3 向下兼容)
• 算法类型
• 公钥内容

DS

即委派签名者（英語：Deligated Signer），该记录用于存放 DNSKEY 中公钥的散列值 ，包括

• Key 标签：用来判断应该用哪个 DNSKEY 记录进行验证的一个数值
• 算法类型：常见的有RSASHA1、RSASHA256、ECDSAP256SHA256，具体可参考附录「算法类型列表」
• 摘要类型：创建摘要值的加密散列算法，主要使用SHA256，具体可参考附录「摘要类型列表」
• 摘要内容: 一串散列数据，由DNSKEY经由摘要类型算法得出

NSEC和NSEC3

即下一个安全（英語：Next Secure）记录，用于明确表示特定域名的记录不存在。

CDNSKEY和CDS

用于请求对父区域中的 DS 记录进行更新的子区域。

部署

2010年7月18日，根域名服務器（root-servers.net）已经完成DNSSEC签名^[3]。

目前已部署在.com、.net、.org、.int、.edu、.mil和.gov等頂級域(gTLD)，以及部分国家和地区顶级域（ccTLD）^[4]。

参见

• DNSCrypt
• DNSCurve
• EDNS
• TSIG
• RPKI

外部链接

1. DNSSEC安全技術簡介. [2013-08-15]. （原始内容存档于2012-12-20）.
2. DNSSEC 如何运作. www.cloudflare.com. [2021-10-24]. （原始内容存档于2022-03-25） （中文（中国大陆））.
3. available from IANA. [2013-07-19]. （原始内容存档于2017-08-10）.
4. DNSSEC部署情形參見維基英文版List_of_Internet_top-level_domains(此英文條目對應之中文版本無此內容)

组织和网站

• DNSSEC（页面存档备份，存于互联网档案馆） - DNSSEC information site: DNSSEC.net
• DNSEXT DNS Extensions IETF Working Group
• CircleID - News and Opinions on all DNSSEC related issues （页面存档备份，存于互联网档案馆）
• DNSSEC-Tools Project（页面存档备份，存于互联网档案馆）
• DNSSEC Deployment Coordination Initiative（页面存档备份，存于互联网档案馆）
• DNSSEC Deployment Team（页面存档备份，存于互联网档案馆）
• ICANN DNS Operations Team（页面存档备份，存于互联网档案馆）

标准文档

• RFC 2535 Domain Name System Security Extensions
• RFC 3833 A Threat Analysis of the Domain Name System
• RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
• RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
• RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
• RFC 4398 Storing Certificates in the Domain Name System (DNS)
• RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing
• RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
• RFC 5155 DNSSEC Hashed Authenticated Denial of Existence
• RFC 6781 DNSSEC Operational Practices, Version 2

其他文档

• A Fundamental Look at DNSSEC, Deployment, and DNS Security Extensions （页面存档备份，存于互联网档案馆） by Geoff Huston
• A short timeline of DNSSEC by Miek Gieben
• Enabling secure name resolution using DNSSEC for various applications （页面存档备份，存于互联网档案馆）
• DNSSEC Howto by Olaf Kolkman (RIPE NCC/NLnet Labs)
• Howto secure your (reverse) Zone （页面存档备份，存于互联网档案馆） by Holger Zuleger
• Easier Email Security is on the Way? （页面存档备份，存于互联网档案馆）
• "DNSSEC and the Zone Enumeration" by Marcos Sanz^{[永久失效連結]}
• DNSSEC BRIEFING and Root Zone Signing (Part I) （页面存档备份，存于互联网档案馆）, ccTLD paper on DNSSEC by ccNSO, February 2008
• DNSSEC in 6 Minutes by Alan Clegg, Internet Systems Consortium (PDF-Datei; 315 kB)
• Implementing DNSSEC （页面存档备份，存于互联网档案馆） Cisco Internet Protocol Journal
• ICANN's TLD DNSSEC Report（页面存档备份，存于互联网档案馆） (generated daily)
• DNSSEC is unnecessary - Against DNSSEC（页面存档备份，存于互联网档案馆）
• DNSSEC is necessary - For DNSSEC（页面存档备份，存于互联网档案馆）