创新

域名系统安全扩展 (DNSSEC)

从端到端验证互联网

提供协议,以实现安全的互联网

互联网工程任务组 (IETF) 已经为域名系统安全扩展 (DNSSEC) 开发可行的标准工作了超过 15 年。DNSSEC 保护互联网社区免受伪造 DNS 数据的危害,其使用公钥加密在授权区域数据进入系统时进行数字签名,然后在目的地址进行验证。详细了解更多有关公钥加密的信息

数字签名帮助确保用户数据来自于规定源并且在传输中未被修改。DNSSEC 也可以确认域名不存在。这些功能对保证互联网的信任度必不可少。

在 DNSSEC 中,每个区域都有一个公钥/私钥对。区域公钥使用 DNS 发布,区域私钥通过离线方式安全、妥善的保管。区域私钥会为该区域中的个人 DNS 数据签名,同时创建同样由 DNS 发布的数字签名。

DNSSEC 采用严格的信任模型,这条信任链贯穿了父区域和子区域。高等级(父)区域会为低等级(子)区域签署或担保公钥。这些不同区域的授权名称服务器可由注册商、互联网服务提供商 (ISP)、Web 托管公司或网站运营商(注册人)自己管理。

Verisign DNSSEC Analyzer 应用程序

此移动应用可提供与您的 DNSSEC 设置有关的信息和/或问题。

最终用户想要访问网站时,用户计算机上的根解析器会向递归名称服务器请求网站的 IP 地址。服务器请求该记录后,还会请求与该区域对应的 DNSSEC 密钥。使用该密钥,服务器可以验证其接收的 IP 地址记录是否与授权名称服务器上的记录一致。

如果递归名称服务器确定地址记录已被授权名称服务器发送并且在传输过程中未遭修改,递归名称服务器就会解析该域名,之后用户就可以访问该网站。上述过程称为验证。如果地址记录被更改或者不是来自规定的来源,那么递归名称服务器就不会允许用户访问欺诈地址。DNSSEC 还可以证明某个域名不存在。因此,DNS 查询和响应可以避免中间人 (MITM) 攻击以及可能将互联网用户重定向至网络钓鱼和网址嫁接网站的伪造欺诈行为的危害。