DNSSEC是什么？DNSSEC的工作原理和作用

77 0 0

什么是DNSSEC？DNSSEC是DomainNameSystemSecurityExtensions的缩写，代表域名系统的安全扩展，允许域名所有者对DNS记录进行数字签名，签名DNS记录的私有签名密钥通常只由合法域名所有者持有，因此可以防止未经授权的第三方修改DNS条目。DNSSEC是IETF提供的一系列DNS安全认证机制，诞生于1997年，已被列入互联网标准化文档。2.DNSSEC的作用是什么？DNSSEC通过使用公钥加密对授权区域数据进行数字签名，避免了互联网社区伪造DNS数据的危害。DNSSEC验证可以确保数据来自指定的来源，并且在传输过程中没有修改。DNSSEC还可以证明某个域名不存在。虽然DNSSEC提高了DNS的安全性，但它并不是一个全面的解决方案。它不能抵抗分布式拒绝服务（DDOS）的攻击，不能保证信息交换的机密性，无法加密网站数据，防止IP地址欺骗和网络钓鱼。为了使互联网更加安全，其他级别的保护也非常重要，如DDOS攻击缓解、安全信息、安全套接字层（SSL）加密和网站验证，以及双重验证。这些机制应与DNSSEC结合使用。3.DNSEC的工作原理是什么？在DNSSEC中，每个区域都有一个公钥/私钥对。区域公钥由DNS发布，区域私钥离线安全妥善保管。区域私钥将签署该区域的个人DNS数据，并创建DNS发布的数字签名。DNSSEC采用严格的信任模型，贯穿父区和子区。高级(父)区域将在低级(子)区域签署或保证公钥。这些区域的授权名称服务器可以由注册人、ISP.web托管公司或网站运营商(注册人)管理。当最终用户想要访问该网站时，用户操作系统中的根分析器将要求域名记录到ISP处。服务器要求记录后，还要求与该区域对应的DNSSEC密钥。该密钥允许服务器验证其收到的信息是否与授权名称服务器上的记录一致。如果递归名称服务器确定地址记录已被授权名称服务器发送，且在传输过程中未修改，则递归名称服务器将分析域名，然后用户可以访问该网站。上述过程称为验证。如果地址记录被更改或不是来自指定的来源，则递归名称服务器将不允许用户访问欺诈地址。DNSSEC还可以证明某个域名不存在。4.使用DNSSEC的人。互联网根域..gov.org..museum等顶级域(TLD)和大量国家代码TLD(CCTLD)已经被管理的区域签名。.edu.net和.com等TLD于2010年和2011年部署了DNSSEC。这些TLD已经开始接受DNSEC签名的二级域名。Comcast等大型ISP已经在递归名称服务器上启用验证机制来响应用户查询。与此同时，一些注册商已经在他们的规划蓝图中添加了DNSSEC部署。此外，互联网名称和数字地址分配机构(ICANN)已经对新的TLD开放，DNSSEC部署可能是批准新的TLD申请时的通过条件之一。5.部署DNSSEC后，我还需要安全套接字层(SSL)吗？虽然DNSSEC和SSL都依赖于公钥加密，但它们有不同的功能和相互补充，而不是相互替代的关系。简单来说，DNSSEC处理的是在哪里，SSL处理的是谁和怎么做。在哪里:DNSSEC使用数字签名来验证DNS数据的完整性，从而保证用户能够到达预期的IP地址。用户登录地址后，DNSSEC的任务就结束了。DNSSEC不能保证地址对应实体的身份，也不会加密用户与网站的互动。谁：SSL使用数字证书来验证网站的身份。这些证书由标准的第三方授权机构（CA）发布，SSL允许用户确定网站所有者的身份。然而，SSL并不能保证用户登录的网站是正确的，因此它无法抵御可以重定向用户的攻击。换句话说，SSL网站验证非常有效，但前提是用户必须先登录到目标网站。怎么做：SSL还使用数字证书来加密用户和网站之间的数据交换，以保护金融交易、通信、电子商务和其他敏感互动的机密性。DNSSEC和SSL的共存可以使互联网更加安全可靠：用户可以确定要登录的地址。与之互动的人和互动行为的机密性。