DNSSEC 为一安全扩展协定,它能够对名称伺服器中的 DNS 纪录进行数位签章,以确保 DNS 纪录的完整性,并打击像是 DNS 劫持 这类型的威胁。
在查询 DNS 的过程中,无法确认您实际上收到的 DNS 回应是否来自其所声称的来源。随着网路的發展,人们开始意识到这是一项重大的疏失,因此人们开始提议域名要使用 DNSSEC,尤其是一组 “域名系统安全扩充协定” 或是我们所说的 DNSSEC。
为了使其正确运作而进行了一些实验,但是今日存在的 DNSSEC 使用公开金钥加密对 DNS 记录进行签名。域名所有人会生成他们自己的密钥,然后将公开金钥传送给他们的域名註册商 (通常是上传给他们)。接着,域名註册商就会将公开金钥传送给域名管理局,管理局会签署公开金钥并将其發佈。这种方式类似于网站管理员生成 SSL 凭证,然后發送给证书颁發机构 (CA) 并由其签署。
当使用 DNSSEC 对 DNS 区域进行签名后,每次在该网域中查找 DNS 记录时,就可以验证接收到的记录是否实际上来自权威伺服器。
也就是说,当在该网域上使用 DNSSEC 时,任何中间人、快取中毒攻击,甚至是您的 DNS 伺服器受到损害时都可以侦测到。
最重要的是,DNSSEC 让您能够相信从 DNS 伺服器上得到的回应是正确的。以网站为例,诈骗的 DNS 伺服器将无法伪造已签名的 DNS 记录,并将用户指向伪造的网站。
更重要的是,若没有 DNSSEC,攻击者可能会利用他们对受攻击网站的 DNS 伺服器的控制去取得一个真正的 SSL 凭证,该凭证对浏览器的有效性与其它任何有效证书一样,不会对用户發出任何警告,无论该页面是否为伪造的网站。有了 DNSSEC,这种情况就不可能發生。
在使用 DNSSEC 的情形下,您可在根域名伺服器建立 “信任链”,从而提供 DNS 回应的身份验证,并保护您的伺服器免受伪造和被操纵的 DNS 回应的影响。我们已经完成了 DNSSEC 大部份设置过程的自动化,因此您可以从这个额外的保护中受益,并且无需进行过于復杂的设定。
您可以:
- 签署您使用 LiveDNS 的网域名称
- 如果您使用我们的伺服器,会自动發佈密钥给註册局
- 如果您透过 “域名註册管理机构 / 域名註册商的第三方 DNS 供应商” 使用第三方的 DNS 服务,则可自动进行密钥替换(当您需要更改密钥时)。
如果您使用我们的 LiveDNS 名称伺服器,您只需点击域名 (需支援 DNSSEC) 即可快速启用 DNSSEC 功能。您只需要前往您的域名分页中,点击您想启用 DNSSEC 功能的域名,然后再点选分页 “名称伺服器” 或是 “DNSSEC”,就能够启用您的 DNSSEC 功能。
当然,若您有任何问题,您都可以透过客服单联繫我们的团队寻求进一步的协助。
Tagged in DNS
