域名系統安全擴展

域名系統安全擴展(英語:Domain Name System Security Extensions,縮寫為DNSSEC)是Internet工程任務組(IETF)的對確保由域名系統 (DNS)中提供的關於網際網路協定 (IP)網路使用特定類型的信息規格包。

基本介紹

  • 中文名:域名系統安全擴展
  • 外文名:DomainNameSystemSecurity Extensions
  • 縮寫:DNSSEC
  • 提出者Internet工程任務組
  • 學科:計算機
  • 領域:計算機
定義,資源記錄類型,RRSIG,DNSKEY,DS,現狀及問題,部署,參見,

定義

域名系統安全擴展(英語:DomainNameSystemSecurity Extensions,縮寫為DNSSEC)是Internet工程任務組(IETF)的對確保由域名系統(DNS)中提供的關於網際網路協定 (IP)網路使用特定類型的信息規格包。它是對DNS提供給DNS客戶端(解析器)的DNS數據來源進行認證,並驗證不存在性和校驗數據完整性驗證,但不提供或機密性和可用性

資源記錄類型

這裡所指的資源記錄類似於現有的A記錄CNAME記錄以及TXT記錄。新增三種資源記錄類型:RRSIG (Resource Record Signature)、DNSKEY (DNS Public Key)、DS (Delegation Signer)詳細內容如下

RRSIG

資源記錄簽名,該記錄用於存放我們當前域名每一條記錄的 DNSSEC 簽名。
格式
  • 算法類型 (參考附錄「算法類型列表」)
  • 標籤 (泛解析中原先 RRSIG 記錄的名稱)
  • 原 TTL 大小
  • 簽名失效時間
  • 簽名簽署時間
  • Key 標籤 (一個簡短的數值,用來迅速判斷應該用那個 DNSKEY 記錄來驗證)
  • 簽名名稱 (用於驗證該簽名的 DNSKEY 名稱)
  • 加密簽名

DNSKEY

該記錄用於存放我們用於檢查 DNSSEC 簽名的公鑰
格式
  • 標識符 (Zone Key (DNSSEC密鑰集) 以及 Secure Entry Point (KSK和簡單密鑰集))
  • 協定 (固定值3 向下兼容)
  • 算法類型 (參考附錄「算法類型列表」)
  • 公鑰內容

DS

該記錄用於存放 DNSSEC 公鑰的散列值。
格式
  • Key 標籤 (一個簡短的數值,用來迅速判斷應該用那個 DNSKEY 記錄來驗證)
  • 算法類型
  • 摘要類型 (創建摘要值的加密散列算法)

現狀及問題

(1)無法保證私密性
DNSSEC 並沒有改變 DNS 基於 UDP 的通訊方式,數據流也都是明文傳輸,他所做的只是加上了一個數字簽名,而中間人依然可以看到你請求了什麼、結果是什麼
(2)挾持發生時不能告訴用戶真正的記錄
當用戶的 DNS 被挾持的時候,用戶通過檢查 DNSSEC 簽名,可以知道自己得到的並不是真正的解析結果,而是得到了一個被偽造的地址。但是,用戶並不知道真正的解析結果是什麼。
(3)支持 DNSSEC的遞歸伺服器並不多
就目前國內而言,只有 CNNIC 的 4.2.2.4 支持,其他例如 114.114.114.114 以及 223.5.5.5 都不支持,而國外的話,谷歌在 2013 年 5 月 6 號宣布其公共 DNS 伺服器 8.8.8.8 以及 8.8.4.4 支持 DNSSEC。

部署

目前僅部署在.org域名和.gov(美國政府域名)以及部分國家和地區頂級域(ccTLD),如:.se(瑞典域名)。2010年7月18日,根域名伺服器(root-servers.net)已經完成DNSSEC簽名。

參見

相關詞條

熱門詞條

聯絡我們