-
域名系統安全擴展
鎖定
域名系統安全擴展(英語:Domain Name System Security Extensions,縮寫為DNSSEC)是Internet工程任務組(IETF)的對確保由域名系統 (DNS)中提供的關於互聯網協議 (IP)網絡使用特定類型的信息規格包。
- 中文名
- 域名系統安全擴展
- 外文名
- DomainNameSystemSecurity Extensions
- 縮 寫
- DNSSEC
- 提出者
- Internet工程任務組
- 學 科
- 計算機
- 領 域
- 計算機
域名系統安全擴展定義
域名系統安全擴展(英語:DomainNameSystemSecurity Extensions,縮寫為DNSSEC)是Internet工程任務組(IETF)的對確保由域名系統(DNS)中提供的關於互聯網協議 (IP)網絡使用特定類型的信息規格包。它是對DNS提供給DNS客户端(解析器)的DNS數據來源進行認證,並驗證不存在性和校驗數據完整性驗證,但不提供或機密性和可用性。
[1]
域名系統安全擴展資源記錄類型
這裏所指的資源記錄類似於現有的A記錄、CNAME記錄以及TXT記錄。新增三種資源記錄類型:RRSIG (Resource Record Signature)、DNSKEY (DNS Public Key)、DS (Delegation Signer)詳細內容如下:
[2]
域名系統安全擴展RRSIG
資源記錄簽名,該記錄用於存放我們當前域名每一條記錄的 DNSSEC 簽名。
格式
- 算法類型 (參考附錄「算法類型列表」)
- 標籤 (泛解析中原先 RRSIG 記錄的名稱)
- 原 TTL 大小
- 簽名失效時間
- 簽名簽署時間
- Key 標籤 (一個簡短的數值,用來迅速判斷應該用那個 DNSKEY 記錄來驗證)
- 簽名名稱 (用於驗證該簽名的 DNSKEY 名稱)
- 加密簽名
域名系統安全擴展DNSKEY
該記錄用於存放我們用於檢查 DNSSEC 簽名的公鑰。
格式
- 標識符 (Zone Key (DNSSEC密鑰集) 以及 Secure Entry Point (KSK和簡單密鑰集))
- 協議 (固定值3 向下兼容)
- 算法類型 (參考附錄「算法類型列表」)
- 公鑰內容
域名系統安全擴展DS
該記錄用於存放 DNSSEC 公鑰的散列值。
格式
- Key 標籤 (一個簡短的數值,用來迅速判斷應該用那個 DNSKEY 記錄來驗證)
- 算法類型
- 摘要類型 (創建摘要值的加密散列算法)
域名系統安全擴展現狀及問題
(1)無法保證私密性
DNSSEC 並沒有改變 DNS 基於 UDP 的通訊方式,數據流也都是明文傳輸,他所做的只是加上了一個數字簽名,而中間人依然可以看到你請求了什麼、結果是什麼
(2)挾持發生時不能告訴用户真正的記錄
當用户的 DNS 被挾持的時候,用户通過檢查 DNSSEC 簽名,可以知道自己得到的並不是真正的解析結果,而是得到了一個被偽造的地址。但是,用户並不知道真正的解析結果是什麼。
(3)支持 DNSSEC的遞歸服務器並不多
就目前國內而言,只有 CNNIC 的 4.2.2.4 支持,其他例如 114.114.114.114 以及 223.5.5.5 都不支持,而國外的話,谷歌在 2013 年 5 月 6 號宣佈其公共 DNS 服務器 8.8.8.8 以及 8.8.4.4 支持 DNSSEC。
域名系統安全擴展部署
目前僅部署在.org域名和.gov(美國政府域名)以及部分國家和地區頂級域(ccTLD),如:.se(瑞典域名)。2010年7月18日,根域名服務器(root-servers.net)已經完成DNSSEC簽名。
域名系統安全擴展參見
- EDNS
- TSIG
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:6次歷史版本
- 最近更新: Good丶Hao