DNS 安全性扩展 (DNSSEC) 简介

DNSSEC 是一套将安全性扩展添加到 DNS 的 IETF RFC 规范。

原始 DNS 协议不支持安全性。 DNS 数据在主服务器与解析器之间可能被篡改和损坏，因为 DNS 未提供用于验证响应的机制。 这使 DNS 容易受到这些类型的攻击。

DNSSEC 在支持 TSIG/SIG0 的服务器之间提供已认证的通信。 可以建立信任链来验证数据真实性和完整性。

在 DNS 区域中，将通过区域签署密钥 (ZSK) 签署 DNS 区域数据，并通过密钥签署密钥 (KSK) 签署 ZSK。 可以将授权签署者 (DS) 资源记录 (RR)（它源自于 KSK）复制到父区域以形成信任链。 所以安全区域的 RR 集将包含：DNSKEY（ZSK 和 KSK）RR、RRSIG（资源记录签名）RR、下一个安全 (NSEC) RR 和（可选）子区域的 DS RR。

当启用安全性的 DNS 解析器获得查询答案时，它将尝试使用区域的 DNSKEY RR 来验证 RRSIG RR。 然后它将使用可以从父区域获取的 DS RR 来验证 DNSKEY RR，以同样的方式继续，直到 DNSKEY RR 或 DS RR 与解析器中配置的信任锚匹配为止。

有关 DNSSEC 的更多信息，请参阅 RFC 4033、4034 和 4035。