发布日期：2024 年 3 月 8 日
撰稿人：Tasmiha Khan、Michael Goodwin
DNSSEC 是域名系统 (DNS) 的一项功能，它使用加密身份验证来验证 DNS 查询中返回的 DNS 记录是否来自权威名称服务器，并且在途中没有更改。
简而言之，DNSSEC 有助于确保用户被定向到他们正在搜索的实际网站，而不是虚假的网站。虽然它不保证搜索的私密性（传输层安全或 TLS 是一种旨在确保互联网隐私的安全协议），但它确实有助于防止恶意实体在 DNS 请求中插入被操纵的 DNS 响应。
DNSSEC（域名系统安全扩展的缩写）用于扩展 DNS 协议和处理 DNS 中的漏洞，这些漏洞使系统容易受到各种网络攻击，例如 DNS 欺骗、DNS 缓存中毒、中间人攻击以及对 DNS 数据的其他未经授权的修改。DNSSEC 部署有助于加强 DNS 抵御这些潜在风险，为互联网提供更安全、更可靠的基础架构。当 DNS 解析器查询信息时，通过验证数字签名来验证 DNS 查询响应，从而确认所接收数据的真实性和完整性。
随着网络安全威胁的不断演变，对包括 DNSSEC 在内的强大安全措施的需求可能会增长。互联网名称与数字地址分配机构 (ICANN) 等组织积极推动其全球采用，反映出人们对其在 DNS 安全中的关键作用的认识日益提高。
DS 记录用于在父区域和子区域之间建立安全的信任链。它们包含 DNSKEY 记录的加密哈希。
DNSKEY 记录（也称为 DNSSEC 密钥）存储与特定 DNS 区域关联的公钥。这些密钥用于验证数字签名，并确保该区域内 DNS 数据的真实性和完整性。
RRSIG 记录包含与一组 DNS 资源记录关联的加密签名。
这是与 DNS 中的特定名称关联的特定类型的所有资源记录的集合。例如，如果您有两个与“example.com”关联的 IP 地址，则这些地址的 A 记录将捆绑在一起形成一个 RRset。
该记录列出了某域存在的记录类型，用于表示对特定域名存在性的经身份验证的否认。它通过返回“下一个安全”记录来工作。例如，如果递归解析器向域名服务器查询不存在的记录，则名称服务器会返回另一条记录，即服务器上定义的“下一个安全记录”，表明所请求的记录不存在。
这是对 NSEC 的增强。它通过使攻击者更难预测或猜测区域中现有域的名称来提高安全性。它的工作方式与 NSEC 类似，但使用加密哈希化记录名称来避免列出特定区域中的名称。
区域签名密钥对（公钥和私钥）是用于对 RRset 进行签名和验证的身份验证密钥。在 DNSSEC 中，每个区域都有一个 ZSK 对。私钥用于为 RRset 创建数字签名。这些签名作为 RRSIG 记录存储在名称服务器中。相关公钥存储在 DNSKEY 记录中，用于验证签名，确认 RRset 的真实性。但是，还需要采取额外措施来验证公共 ZSK。为此，使用密钥签名密钥。
密钥签名密钥是另一个公钥/私钥对，用于验证公共区签名密钥没有泄露。
DNS 安全扩展提供了一个加密安全框架，旨在提高 DNS 的安全性和可信度。DNSSEC 的核心是采用公钥和私钥对系统。要启用 DNSSEC 验证，区域管理员使用私有的区域签名密钥和作为 DNSKEY 记录分发的相应公钥生成数字签名（存储为 RRSIG 记录）。密钥签名密钥用于对 ZSK 进行签名和验证，从而提供额外的安全层。
DNS 解析器在被查询时检索所请求的 RRset 和关联的 RRSIG 记录，其中包含私有的区域签名密钥。然后，解析器会请求保存公共 ZSK 密钥的 DNSKEY 记录。这三种资产共同验证解析器收到的响应。不过，公共 ZSK 的真实性仍有待验证。这就是密钥签名密钥的用武之地。
密钥签名密钥用于签署公共 ZSK，并为 DNSKEY 创建 RRSIG。名称服务器在 DNSKEY 记录中发布公共 KSK，就像发布公共 ZSK 一样。这将创建一个包含两条 DNSKEY 记录的 RRset。这些由私有 KSK 签名，并由公共 KSK 验证。这种认证验证了公共 ZSK（KSK 的目的），并验证了所请求的 RRset 的真实性。
DNSSEC 的运作原则是在整个 DNS 层次结构中建立一条“信任链”，并在每个级别对 DNS 数据进行签名，以创建确保数据完整性和真实性的可验证路径。链条中的每个环节都使用数字签名进行保护，从而创建一个信任锚，该锚从根区域服务器开始，向下延伸到顶级域 (TLD) 服务器，直到各个域的权威 DNS 服务器。
委托签名人 (DS) 记录用于将信任从父区域转移到子区域。当解析器被引用到子区域时，父区域会提供一个包含父区域 DNSKEY 记录哈希值的 DS 记录。其将与子区域中的哈希化公共 KSK 进行比较。如果匹配，则表示公共 KSK 是真实的，并让解析器知道子域（子区域）中的记录是可信的。这个过程从一个区域到另一个区域执行，建立起一个信任链。
DNSSEC 和 DNS 安全是互联网安全领域的相关概念，各有不同的重点和范围。DNSSEC 特指一组旨在增强域名系统安全性的 DNS 扩展。其主要目标是通过私钥和公钥加密来确保 DNS 记录的完整性和真实性。
DNS 安全是一个更广泛的术语，包括保护整个 DNS 环境的综合方法。虽然 DNSSEC 是 DNS 安全的重要组成部分，但 DNS 安全的范围超出了 DNSSEC 的特定协议。DNS 安全可应对包括分布式拒绝服务或 (DDoS) 攻击和域盗窃在内的各种威胁，提供整体策略来防范可能危及 DNS 基础设施的恶意活动。
