域名系统安全扩展

域名系统安全扩展（英語：Domain Name System Security Extensions，縮寫為DNSSEC）是Internet工程任务组（IETF）的对确保由域名系统（DNS）中提供的关于互联网协议（IP）网络使用特定类型的信息规格套件。它是对DNS提供给DNS客户端（解析器）的DNS数据来源进行认证，并验证不存在性和校验数据完整性验证，但不提供机密性和可用性^[1]。

概述

域名系統（DNS）的原始設計不包含任何安全細節；相反的，它被設計成一個可擴增的分散式系統(Distributed system)。域名系統安全擴展（DNSSEC）嘗試在其中添加安全性，同時仍保持向後兼容性。 RFC 3833記錄了DNS的一些已知威脅以及DNSSEC如何應對這些威脅。

DNSSEC旨在保護應用程式（以及服務這些應用程式的緩存解析器）免受偽造或不當操縱的DNS數據所造成的影響（例如域名服务器缓存污染的數據）。來自DNSSEC保護區的所有答案都經過數位簽章。通過檢驗數位簽章，DNS解析器可以核查信息是否與區域所有者發布的信息相同（未修改和完整），並確係實際負責的DNS服務器所提供。雖然保護IP地址的正確性是許多用戶關注DNSSEC的直接課題，DNSSEC還可以保護DNS中發布的其他任何數據：包括文本記錄（TXT）和郵件交換記錄（MX），並可用於引導發布參照存儲在DNS中的加密證書的其他安全系統：例如證書記錄（CERT記錄，RFC 4398），SSH指紋（SSHFP，RFC 4255），IPSec公鑰（IPSECKEY，RFC 4025）和TLS信任錨（英语：Trust anchor）（TLSA，RFC 6698）。

DNSSEC 新增的资源记录

DNSSEC新增的记录如下^[2]

RRSIG

即资源记录签名（英語：Resource Record Signature），资源记录除了A和AAAA之外，也包括DNSKEY、DS、NSEC等记录，RRSIG用于存放各个资源记录的签名，包括

算法类型
标签 (泛解析中原先 RRSIG 记录的名称)
原 TTL 大小
签名失效时间
签名签署时间
Key 标签 (用来迅速判断应该用那个 DNSKEY 记录来验证的一个数值)
签名名称 (用于验证该签名的 DNSKEY 名称)
签名

DNSKEY

该记录用于存放用于检查 RRSIG 的公钥。其包括

标识符 (Zone Key (DNSSEC密钥集) 以及 Secure Entry Point (KSK和简单密钥集))
协议 (固定值3 向下兼容)
算法类型
公钥内容

DS

即委派签名者（英語：Deligated Signer），该记录用于存放 DNSKEY 中公钥的散列值，包括

Key 标签：用来判断应该用哪个 DNSKEY 记录进行验证的一个数值
算法类型：常见的有RSASHA1、RSASHA256、ECDSAP256SHA256，具体可参考附录「算法类型列表」
摘要类型：创建摘要值的加密散列算法，主要使用SHA256，具体可参考附录「摘要类型列表」
摘要内容: 一串散列数据，由DNSKEY经由摘要类型算法得出

NSEC和NSEC3

即下一个安全（英語：Next Secure）记录，用于明确表示特定域名的记录不存在。

CDNSKEY和CDS

用于请求对父区域中的 DS 记录进行更新的子区域。

部署

2010年7月18日，根域名服務器（root-servers.net）已经完成DNSSEC签名^[3]。

目前已部署在.com、.net、.org、.int、.edu、.mil和.gov等頂級域(gTLD)，以及部分国家和地区顶级域（ccTLD）^[4]。

参见

外部链接

^ DNSSEC安全技術簡介. [2013-08-15]. （原始内容存档于2012-12-20）.
^ DNSSEC 如何运作. www.cloudflare.com. [2021-10-24]. （原始内容存档于2022-03-25）（中文（中国大陆））.
^ available from IANA. [2013-07-19]. （原始内容存档于2017-08-10）.
^ DNSSEC部署情形參見維基英文版List_of_Internet_top-level_domains(此英文條目對應之中文版本無此內容)

组织和网站

DNSSEC（页面存档备份，存于互联网档案馆） - DNSSEC information site: DNSSEC.net
DNSEXT DNS Extensions IETF Working Group
CircleID - News and Opinions on all DNSSEC related issues （页面存档备份，存于互联网档案馆）
DNSSEC-Tools Project（页面存档备份，存于互联网档案馆）
DNSSEC Deployment Coordination Initiative（页面存档备份，存于互联网档案馆）
DNSSEC Deployment Team（页面存档备份，存于互联网档案馆）
ICANN DNS Operations Team（页面存档备份，存于互联网档案馆）

标准文档

RFC 2535 Domain Name System Security Extensions
RFC 3833 A Threat Analysis of the Domain Name System
RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
RFC 4398 Storing Certificates in the Domain Name System (DNS)
RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing
RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
RFC 5155 DNSSEC Hashed Authenticated Denial of Existence
RFC 6781 DNSSEC Operational Practices, Version 2

其他文档

A Fundamental Look at DNSSEC, Deployment, and DNS Security Extensions （页面存档备份，存于互联网档案馆） by Geoff Huston
A short timeline of DNSSEC by Miek Gieben
Enabling secure name resolution using DNSSEC for various applications （页面存档备份，存于互联网档案馆）
DNSSEC Howto by Olaf Kolkman (RIPE NCC/NLnet Labs)
Howto secure your (reverse) Zone （页面存档备份，存于互联网档案馆） by Holger Zuleger
Easier Email Security is on the Way? （页面存档备份，存于互联网档案馆）
"DNSSEC and the Zone Enumeration" by Marcos Sanz^{[永久失效連結]}
DNSSEC BRIEFING and Root Zone Signing (Part I) （页面存档备份，存于互联网档案馆）, ccTLD paper on DNSSEC by ccNSO, February 2008
DNSSEC in 6 Minutes by Alan Clegg, Internet Systems Consortium (PDF-Datei; 315 kB)
Implementing DNSSEC （页面存档备份，存于互联网档案馆） Cisco Internet Protocol Journal
ICANN's TLD DNSSEC Report（页面存档备份，存于互联网档案馆） (generated daily)
DNSSEC is unnecessary - Against DNSSEC（页面存档备份，存于互联网档案馆）
DNSSEC is necessary - For DNSSEC（页面存档备份，存于互联网档案馆）

[1] DNSSEC安全技術簡介. [2013-08-15]. （原始内容存档于2012-12-20）.

[2] DNSSEC 如何运作. www.cloudflare.com. [2021-10-24]. （原始内容存档于2022-03-25）（中文（中国大陆））.

[dnssec-status-live-3] vailable from IANA. [2013-07-19]. （原始内容存档于2017-08-10）.

[4] DNSSEC部署情形參見維基英文版List_of_Internet_top-level_domains(此英文條目對應之中文版本無此內容)

[1]

[2]

[3]

[4]