本頁使用了標題或全文手工轉換

域名系統安全擴充

維基百科,自由的百科全書
跳至導覽 跳至搜尋

域名系統安全擴充(英語:Domain Name System Security Extensions,縮寫為DNSSEC)是Internet工程任務組 (IETF)的對確保由域名系統 (DNS)中提供的關於網際網路協定 (IP)網路使用特定類型的資訊規格套件。它是對DNS提供給DNS客戶端(解析器)的DNS資料來源進行認證,並驗證不存在性和校驗資料完整性驗證,但不提供或機密性和可用性[1]

概述[編輯]

域名系統(DNS)的原始設計不包含任何安全細節;相反的,它被設計成一個可擴增的分散式系統(Distributed system)。域名系統安全擴展(DNSSEC)嘗試在其中添加安全性,同時仍保持向下相容性。 RFC 3833記錄了DNS的一些已知威脅以及DNSSEC如何應對這些威脅。

DNSSEC旨在保護應用程式(以及服務這些應用程式的快取解析器)免受偽造或不當操縱的DNS資料所造成的影響(例如域名伺服器快取污染的資料)。來自DNSSEC保護區的所有答案都經過數位簽章。通過檢驗數位簽章,DNS解析器可以核查資訊是否與區域所有者發布的資訊相同(未修改和完整),並確係實際負責的DNS伺服器所提供。雖然保護IP位址的正確性是許多用戶關注DNSSEC的直接課題,DNSSEC還可以保護DNS中發布的其他任何資料:包括文字記錄(TXT)和郵件交換記錄(MX),並可用於引導發布參照儲存在DNS中的加密憑證的其他安全系統:例如憑證記錄(CERT記錄,RFC 4398),SSH指紋(SSHFP,RFC 4255),IPSec公鑰(IPSECKEY,RFC 4025)和TLS信任錨英語Trust anchor(TLSA,RFC 6698)。

DNSSEC 新增的資源記錄[編輯]

新增三種資源記錄類型:RRSIG (Resource Record Signature)、DNSKEY (DNS Public Key)、DS (Delegation Signer)詳細內容如下


RRSIG (Resource Record Signature)資源記錄簽章

資源記錄簽章[編輯]

該記錄用於存放我們目前域名每一條記錄的 DNSSEC 簽章

格式[編輯]

記錄類型

  • 演算法類型
  • 標籤 (泛解析中原先 RRSIG 記錄的名稱)
  • 原 TTL 大小
  • 簽章失效時間
  • 簽章簽署時間
  • Key 標籤 (一個簡短的數值,用來迅速判斷應該用那個 DNSKEY 記錄來驗證)
  • 簽章名稱 (用於驗證該簽章的 DNSKEY 名稱)
  • 加密簽章

DNSKEY (DNS Public Key)DNS公鑰[編輯]

該記錄用於存放用於檢查 DNSSEC 簽章的公鑰

格式[編輯]

  • 識別碼 (Zone Key (DNSSEC金鑰集) 以及 Secure Entry Point (KSK和簡單金鑰集))
  • 協定 (固定值3 向下相容)
  • 演算法類型
  • 公鑰內容

DS (Delegation Signer)[編輯]

該記錄用於存放 DNSSEC 公鑰的雜湊值

格式[編輯]

  • Key 標籤 (一個簡短的數值,用來迅速判斷應該用那個 DNSKEY 記錄來驗證)
  • 演算法類型 (參考附錄「演算法類型列表」)
  • 摘要類型 (建立摘要值的加密雜湊演算法)(參考附錄「摘要類型列表」)
  • Digest: A cryptographic hash value of the referenced DNSKEY-record.(摘要:參照的DNSKEY記錄的加密雜湊值)[2]


部署[編輯]

2010年7月18日,根域名伺服器(root-servers.net)已經完成DNSSEC簽章[3]

目前已部署在.com.net.org.int.edu.mil.gov等頂級域,以及部分國家和地區頂級域(ccTLD[4]

參見[編輯]

外部連結[編輯]

  1. ^ DNSSEC安全技術簡介. [2013-08-15]. (原始內容存檔於2012-12-20). 
  2. ^ 域名系統安全擴展. [2019-08-10] (中文(簡體)‎). 
  3. ^ available from IANA
  4. ^ DNSSEC部署情形參見維基英文版List_of_Internet_top-level_domains(此英文條目對應之中文版本無此內容)

組織和網站[編輯]

標準文件[編輯]

  • RFC 2535 Domain Name System Security Extensions
  • RFC 3833 A Threat Analysis of the Domain Name System
  • RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
  • RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4398 Storing Certificates in the Domain Name System (DNS)
  • RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing
  • RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
  • RFC 5155 DNSSEC Hashed Authenticated Denial of Existence
  • RFC 6781 DNSSEC Operational Practices, Version 2

其他文件[編輯]