DNSSEC 為一安全擴展協定,它能夠對名稱伺服器中的 DNS 紀錄進行數位簽章,以確保 DNS 紀錄的完整性,並打擊像是 DNS 劫持 這類型的威脅。
在查詢 DNS 的過程中,無法確認您實際上收到的 DNS 回應是否來自其所聲稱的來源。隨著網路的發展,人們開始意識到這是一項重大的疏失,因此人們開始提議域名要使用 DNSSEC,尤其是一組 “域名系統安全擴充協定” 或是我們所說的 DNSSEC。
為了使其正確運作而進行了一些實驗,但是今日存在的 DNSSEC 使用公開金鑰加密對 DNS 記錄進行簽名。域名所有人會生成他們自己的密鑰,然後將公開金鑰傳送給他們的域名註冊商 (通常是上傳給他們)。接著,域名註冊商就會將公開金鑰傳送給域名管理局,管理局會簽署公開金鑰並將其發佈。這種方式類似於網站管理員生成 SSL 憑證,然後發送給證書頒發機構 (CA) 並由其簽署。
當使用 DNSSEC 對 DNS 區域進行簽名後,每次在該網域中查找 DNS 記錄時,就可以驗證接收到的記錄是否實際上來自權威伺服器。
也就是說,當在該網域上使用 DNSSEC 時,任何中間人、快取中毒攻擊,甚至是您的 DNS 伺服器受到損害時都可以偵測到。
最重要的是,DNSSEC 讓您能夠相信從 DNS 伺服器上得到的回應是正確的。以網站為例,詐騙的 DNS 伺服器將無法偽造已簽名的 DNS 記錄,並將用戶指向偽造的網站。
更重要的是,若沒有 DNSSEC,攻擊者可能會利用他們對受攻擊網站的 DNS 伺服器的控制去取得一個真正的 SSL 憑證,該憑證對瀏覽器的有效性與其它任何有效證書一樣,不會對用戶發出任何警告,無論該頁面是否為偽造的網站。有了 DNSSEC,這種情況就不可能發生。
在使用 DNSSEC 的情形下,您可在根域名伺服器建立 “信任鏈”,從而提供 DNS 回應的身份驗證,並保護您的伺服器免受偽造和被操縱的 DNS 回應的影響。我們已經完成了 DNSSEC 大部份設置過程的自動化,因此您可以從這個額外的保護中受益,並且無需進行過於復雜的設定。
您可以:
- 簽署您使用 LiveDNS 的網域名稱
- 如果您使用我們的伺服器,會自動發佈密鑰給註冊局
- 如果您透過 “域名註冊管理機構 / 域名註冊商的第三方 DNS 供應商” 使用第三方的 DNS 服務,則可自動進行密鑰替換(當您需要更改密鑰時)。
如果您使用我們的 LiveDNS 名稱伺服器,您只需點擊域名 (需支援 DNSSEC) 即可快速啟用 DNSSEC 功能。您只需要前往您的域名分頁中,點擊您想啟用 DNSSEC 功能的域名,然後再點選分頁 “名稱伺服器” 或是 “DNSSEC”,就能夠啟用您的 DNSSEC 功能。
當然,若您有任何問題,您都可以透過客服單聯繫我們的團隊尋求進一步的協助。
Tagged in DNS
