DNSSEC 常见问题
域名系统 (DNS)
DNS 是什么?DNS 的工作原理是什么?
为什么 DNS 易受攻击?
什么是缓存中毒?
什么是中间人 (MITM) 攻击?
DNSSEC
DNSSEC 的作用是什么?DNSSEC 的受益者是谁?
DNSSEC 的工作原理是什么?
DNSSEC 在多大程度上能够解决总体互联网安全问题?
用户如何得知自己受到攻击?
实施 DNSSEC 时威瑞信将做什么?
威瑞信的 DNSSEC 部署策略是什么?
DNSSEC 要想成功,需要什么条件?
谁已采用或部署 DNSSEC?
部署 DNSSEC 后,我还需要安全套接协议层 (SSL) 吗?
DNSSEC 是法律或行业标准强制要求的吗?
DNSSEC 的发展历史?
注册商
部署 DNSSEC 时注册商会受到怎样的影响?威瑞信正在做哪些努力来帮助 .com/.net 注册商?
消费者是否可以购买 DNSSEC?它的工作原理是什么?
ISP、供应商和网站运营商(注册人)
互联网服务提供商 (ISP) 需要做什么?硬件供应商在 DNSSEC 中扮演什么角色?
软件开发者如何支持 DNSSEC?
Verisign DNSSEC 互操作性实验室是什么?
网站运营商如何启用 DNSSEC?
要让 DNSSEC 获得成功,政策制定者在其中发挥了什么作用?
域名系统 (DNS) 解答
DNS 是什么?
DNS 指的是互联网寻址系统。几乎所有接入互联网的对象(例如,计算机、移动设备、笔记本电脑、ATM 和 POS 终端)都要靠 DNS 服务来交换信息。DNS 使用专用服务器来转换(或解析)诸如 www.verisigninc.com 之类的域名,让其变成数字地址以便将数据和信息送达目的地。所有的互联网应用程序,从网站、电子邮件社交网络和网上银行到互联网语音协议(VoIP)、文件共享以及视频点播,都得依赖于解析结果的准确性和完整性。没有 DNS,互联网无法工作。对于重要的国家基础设施、在线商务运作和金融交易以及所有基于互联网的通信来说,DNS 不可或缺。 返回页首
DNS 的工作原理是什么?
域名空间由域名树组成,再被细分为多个区域。一级或根域名区域由美国商务部(DoC)掌管, 并由威瑞信和互联网号码分配局协同管理,负责维护根域名服务器上的数据。了解更多有关 DNS 的信息。
DNS 区域由一组连接节点(由授权域名服务器提供服务)组成。负责不同区域的授权域名服务器的工作是将域名映射为 IP 地址。树中的每个节点或分支拥有 0 个或更多的资源记录,其中保留着域名相关信息。每个域名都以一级域名(TLD)作为结尾,例如 .com 或 .tv。
为了让互联网正常运作并防止重复域名,必须备有一个授权地址来注册域名。每个 TLD 有一个授权注册表,用于管理集中式数据库。该注册表会传播与 TLD 区域文件中的域名和 IP 地址有关的信息。TLD 会将活动的二级域名(立刻出现在 "." 左边的域名部分)映射为域名服务器的唯一 IP 地址。了解更多关于域名和域名注册的信息。 返回页首
为什么 DNS 易受攻击? 
域名解析为 IP 地址的过程被称为 DNS 解析。如果有人在网络浏览器中输入了一个域名,例如 www.verisigninc.com,浏览器就会联系域名服务器来获取相应的 IP 地址。有两种类型的域名服务器:授权域名服务器(会储存与区域有关的完整信息)和递归域名服务器(会响应 DNS 对互联网用户的查询并将 DNS 响应结果保存一段时间)。当递归域名服务器收到响应时,它会将其放入高速缓存来加速后续查询。高速缓存有助于降低所需的信息请求量,但容易受到中间人攻击。
通过攻击,网络罪犯们可以:
- 截获电子邮件
- 窃听网络电话 (VoIP)
- 假冒网站
- 盗窃密码和登录信息
- 盗取信用卡数据和其他机密信息
什么是缓存中毒?
当欺骗性 DNS 数据被插入到递归域名服务器的高速缓存中时,就会发生缓存中毒攻击。递归域名服务器会将域名解析过程中获取的信息临时存入高速缓存,如果没有 DNSSEC,递归域名服务器就无法确保这些信息的有效性和准确性。当恶意信息被存入递归域名服务器的高速缓存时,服务就“中毒”了。通过缓存中毒,攻击者可以将流量重新定向至欺诈网站。 返回页首
什么是中间人 (MITM) 攻击?
MITM 攻击会暗中拦截并更改两个系统之间的通信。攻击者可以偷偷更改通信,将流量重新定向至非法地址或网站。最终用户不会发现“中间人”的存在,会以为自己正在与目标地址进行正常通信。 返回页首
DNSSEC 解答
DNSSEC 的作用是什么?
DNSSEC 通过使用公钥加密来为授权区域数据进行数字签名,让网上社区免受伪造 DNS 数据的危害。DNSSEC 验证能够向用户确保数据来自规定的来源并且在传输过程中未遭修改。DNSSEC 还可以证明某个域名不存在。
尽管 DNSSEC 增强了 DNS 的安全性,但也不是一种全面的解决方案。它不能抵御分布式拒绝服务 (DDoS) 攻击,不能确保信息交换的机密性,不能加密网站数据以及防止欺骗和钓鱼网站。要使互联网更加安全,其他层次的防护也至关重要,例如 DDoS 攻击缓解、安全智能、安全套接字层 (SSL) 加密和站点验证,以及双重验证。这些机制应当与 DNSSEC 组合使用。 返回页首
DNSSEC 的受益者是谁?
DNSSEC 影响着互联网基础设施生态系统的每一个部分。要将其进行有效部署,需要网上社区中许多利益相关者的参与。注册机构、注册商、域名注册人、软硬件供应商、ISP、政府机构以及普通互联网用户都在其中发挥作用,才能确保 DNSSEC 获得成功,提高互联网的安全性。
DNSSEC 可帮助:
- 网上社区可以改进签名区域的安全性。
- 注册商可以为客户提供域名签名服务。
- ISP 可以改进返还给客户的数据的安全性。
- 用户可以免受缓存中毒和中间人攻击之类 DNS 漏洞的伤害。
DNSSEC 的工作原理是什么?
在 DNSSEC 中,每个区域都有一个公钥/私钥对。区域公钥使用 DNS 发布,区域私钥通过离线方式安全、妥善的保管。区域的密钥会为该区域中的个人 DNS 数据签名,同时也会通过 DNS 发行数字签名。
DNSSEC 采用严格的信任模型,这条信任链贯穿了父区域和子区域。高等级(父)的区域会为低等级的区域签署或担保公钥。这些区域的授权域名服务器由注册商、ISP、万维网托管公司或网站运营商(登记者)自己管理。
当最终用户想访问网站时,用户操作系统内的存根地址会向 ISP 处的递归域名服务器请求域名记录。服务器请求该记录后,它还会请求与该区域对应的 DNSSEC 密钥。该密钥允许服务器验证其接收的信息是否与授权域名服务器上的记录一致。
如果递归域名服务器确定地址记录已被授权域名服务器发送并且在传输过程中未遭修改,递归域名服务器就会解析该域名,之后用户就可以访问该网站。上述过程称为验证。如果地址记录被更改或者不是来自规定的来源,那么递归域名服务器就不会允许用户访问欺诈地址。DNSSEC 还可以证明某个域名不存在。 返回页首
DNSSEC 在多大程度上能够解决总体互联网安全问题?
互联网安全是涉及众多方面的复杂问题。DNSSEC 可能会缓解中间人攻击和缓存中毒所带来的安全隐忧,但它还不是全面的安全解决方案。DNSSEC 不能解决多种常见的互联网安全威胁,比如欺诈或钓鱼。出于此原因,如果要让互联网变得更加安全,那么其他层面的防护,例如 SSL 证书和双因素验证同样至关重要。 返回页首
用户如何得知自己受到攻击?
网上社区还没有制定出一个标准化的系统来通知用户其遭受攻击。一个可能的解决方案是,开发“DNSSEC 型”浏览器来通知用户其已被定向到一个经过验证的地址。 返回页首
实施 DNSSEC 时威瑞信将做什么?
2010 年 7 月,威瑞信与互联网编号分配机构 (IANA) 和商务部 (DoC) 合作, 在根区域(DNS 层次结构的起点)完成了 DNSSEC 的部署。威瑞信还在2010 年 7 月与 EUCAUSE 合作启用了 .edu,并在 2010 年 12 月与 DoC 合作启用了 .net,然后在 2011 年 3 月启用了 .com。 返回页首
威瑞信的 DNSSEC 部署策略是什么?
我们的 DNSSEC 的部署策略是:从小型区域开始,从每一次的部署中吸取经验,然后再部署下一个区域。因为 .com 区域是最大的,我们将最后为它部署 DNSSEC。我们希望获取尽可能多的经验,然后再涉足这个区域,毕竟该区域涉及全世界如此之多的互联网商务和通信。 返回页首
DNSSEC 要想成功,需要什么条件?
对于全球网上社区来说,成功部署 DNSSEC 能够意义深远,它将提升大量互联网活动的可信度,包括电子商务、网上银行、电子邮件、VoIP以及在线软件分发。因此,整个网上社区都有责任让 DNSSEC 取得成功。要取得成功,需要登记处、注册商、注册人、托管公司、软件开发者、硬件供应商、政府以及互联网技术人员和互联网联盟的积极协作与参与。 返回页首
谁已采用或部署 DNSSEC?
互联网根区域、.gov、.org、.museum 之类的一级域名 (TLD) 以及大量国家代码 TLD (ccTLD) 都为所管理的区域部署了 DNSSEC。其他诸如 .edu、.net 和 .com 之类的 TLD 将在 2010 和 2011 年部署 DNSSEC。这些 TLD 已经开始接受 DNSSEC 签名的二级域名。Comcast 之类的大型 ISP 已在递归域名服务器上启用验证机制来响应用户查询,同时,一些注册商已经在他们的规划蓝图中加入了 DNSSEC 部署。此外,互联网名称和数字地址分配机构 (ICANN) 已为新的 TLD 开放申请,有可能会在审批新的 TLD 申请时将 DNSSEC 部署作为通过条件之一。 返回页首
部署 DNSSEC 后,我还需要安全套接协议层 (SSL) 吗?
尽管 DNSSEC 和 SSL 都依赖于公钥加密,但它们作用各异且相互补充,并非互相取代的关系。
简单的说,DNSSEC 处理“在哪里”的问题,而 SSL 处理“谁”和“怎么做”的问题。
- 在哪里—DNSSEC 使用数字签名来验证 DNS 数据的完整性,从而确保用户可以登陆目标 IP 地址。用户登陆目标网址后,DNSSEC 的任务就结束了。DNSSEC 无法确保该地址对应实体的身份,也不会对用户同该站点之间的互动进行加密。
- 谁—SSL 使用数字证书来验证站点的身份。这些证书由规范的第三方授权机构 (CA) 发布,SSL 由此来让用户确定该网站所有者的身份。但是,SSL 不能确保用户登陆的站点正确,所以它不能抵御那些能重定向用户的攻击。换而言之,SSL 站点验证十分有效,但前提是用户得先登录到目标站点。
- 方式 - SSL 还使用数字证书来加密用户和站点之间的数据交换,从而保护金融交易、通信、电子商务和其他敏感互动行为的机密性。
DNSSEC 和 SSL 的共存可以让互联网更加安全可靠:用户可以确定要登陆的地址、与之互动的人以及互动行为的机密性。 返回页首
DNSSEC 是法律或行业标准强制要求的吗?
在美国,行政管理和预算局(OMB)备忘录 08-23 批准于 2009 年 1 月前将 DNSSEC 部署到到一级域名 .gov 中,并且批准 美国联邦机构于 2009 年 12 月前在外部站点部署 DNSSEC。.gov 在 2009 年初已部署了 DNSSEC。美国 国防信息系统局也准备在 .mil 域名中遵循 OMB DNSSEC 标准。美国 联邦信息安全管理法案(FISMA)要求机构于 2010 年中段在他们的内网部署 DNSSEC。目前,没有规定要求公共网站运营商在他们的区域部署 DNSSEC。 返回页首
DNSSEC 的发展历史?
1993:开始讨论如何保证 DNS 安全
1994:可行性标准初稿发布
1997:RFC 2065 发布(DNSSEC 是一种 IETF 标准)
1999:RFC 2535 发布(DNSSEC 标准被修订)
2005:完全改写后的标准发布
RFC 4033(介绍和要求)
RFC 4034(新的资源记录)
RFC 4035(协议更改)
2010 年 7 月:部署根区域
2010 年 7 月:部署 .edu
2010 年 12 月:部署 .net
2011 年 2 月:向威瑞信转移已启用 DNSSEC 的 .gov 域名
2011 年 3 月:部署 .com
2011 年 3 月:威瑞信托管的 DNS 服务增强对 DNSSEC 合规性的全力支持
2012 年 1 月:Comcast 宣布其客户正在使用 DNSSEC 验证解析程序
2012 年 3 月:所部署的 TLD 数量增加至 90
注册商问答
部署 DNSSEC 时注册商会受到怎样的影响?
注册商需要为其客户(注册人)域名进行部署。为注册人启用 DNSSEC 的步骤包括为域名创建私钥/公钥对、创建并部署该区域和管理密钥对。这些过程能确保在互联网生态环境内启用了 DNSSEC 的域名解析器能够验证从该区域内接收到的响应的真实性。注册商还需要修改接口,以方便要接收 DNSSEC 密钥数据的客户。此外,他们需要修改自己的扩展供应协议 (EPP) 接口来将 DNSSEC 密钥数据传输给正在互动的登记处。 返回页首
威瑞信正在做哪些努力来帮助 .com/.net 域名登记?
威瑞信正在努力为注册商降低 DNSSEC 部署成本,并帮助我们的域名登记附属机构确定其 DNSSEC 部署策略。威瑞信提供了大量工具、培训、服务和支持,旨在帮助注册商处理重要的管理过程以及在其 DNS 服务器中部署 DNSSEC。
这些支持包括:
- 一个用于 .nei/ .com 的操作测试环境,确保注册商能够正常部署 DNSSEC。
- 由技术训练营提供的 DNSSEC 教程。
- 一份软件开发者工具包 (SDK) 和 EPP 工具。访问 EPP SDK。
- DNSSEC 技术论坛。
- 一份 DNSSEC 工具指南,提供了 DNSSEC 相关开源工具概述和行业中可用的自动化套装。
- 一份可下载的命令行工具,通过它注册商可以充分利用常见开源工具,以简化 DNSSEC 和 DNS 区域管理。
- 关于如何在启用 DNSSEC 的环境中进行域名登记转让的白皮书(可通过 DNSSEC 技术论坛获取)。
消费者是否可以购买 DNSSEC?它的工作原理是什么?
威瑞信已向 DNSSEC 投入大量资金,用以增强互联网基础设施的安全。注册商和/或服务供应商可能会选择开发服务来为它们的客户启用 DNSSEC。市场决定模型。 返回页首
ISP、供应商和网站运营商(注册人)解答
互联网服务提供商 (ISP) 需要做什么?
为了有助于 DNSSEC 在互联网生态系统中的传播,ISP 需要在其递归域名服务器中启用 DNSSEC 并确保自身网络基础设施(例如,防火墙、路由器、交换机和负载平衡器)同 DNSSEC 生成的更大的 DNS 响应之间的兼容性。
大多数商用递归名称服务器都已支持 DNSSEC,仅需进行一次更新或更改一些参数。但您可能不得不升级或替换传统名称服务器和现有网络设备。 返回页首
硬件供应商在 DNSSEC 中扮演什么角色?
DNSSEC 为整个互联网生态系统引入了复杂的变更。为了确保互联网用户能从改进的互联网安全性中受益,互联网基础设施产品(例如防火墙、路由器和其他设备)制造商需要确保他们的设备能够同 DNSSEC 兼容。上述产品的正常使用肯定会影响所有连入互联网的人群,包括企业、ISP、家庭用户和其他客户。 返回页首
软件开发者如何支持 DNSSEC?
对于互联网的有效和创新使用,运行 DNS 的软件产品和浏览器、电子邮件等最终用户应用程序必不可少。注册商、ISP 和最终用户需要将 DNSSEC 功能集成到此软件中的解决方案。通过制造兼容 DNSSEC 的产品和开发工具来简化 DNSSEC 的管理,软件开发者能够推动 DNSSEC 在全球范围内的部署。
在 DNS 服务器操作系统、客户端操作系统和最终用户应用层,都存在创造客用户价值的机会。例如,注册商、ISP 和 Web 托管服务需要能够简化 DNSSEC 区域签名和密钥管理的解决方案。他们还需要有方法向最终用户指示 DNSSEC 验证,或许是通过在 Web 浏览器中显示可视提示。 返回页首
Verisign DNSSEC 互操作性实验室是什么?
Verisign DNSSEC 互操作性实验室 让 IT 社区的成员们可以测试他们的互联网和企业基础设施组件同 DNSSEC 之间的兼容性。
通过使用测试设备,硬件供应商和软件开发者可以确定 DNSSEC 会对他们提供的解决方案和服务产生什么影响(如果有的话)。 返回页首
网站运营商(注册人)如何启用 DNSSEC?
DNSSEC 的基础是信任层级。等级树中高等级的实体会为其下的实体作担保。这意味着,提供网站运营商域名(通常是注册商、ISP 或 DNS 托管服务)的实体必须在网站运营商启用该域名前部署 DNSSEC。
要为网站启用 DNSSEC,网站运营商必须对其域名信息进行数字签名。大多数情况下,它们可以在登记域名时选择完成数字签名。如果网站运营商已经登记了域名并选择为自己的区域部署 DNSSEC,启用了 DNSSEC 的注册商则可能会在登记后更改区域记录。
出于安全原因或规章制度,某些机构可能需要管理部分 DNSSEC 流程。这种情况下,启用 DNSSEC 的过程会更加复杂。 返回页首
要让 DNSSEC 获得成功,政策制定者在其中发挥了什么作用?
DNSSEC 在实现全面部署时最为有效,从互联网层次结构的顶端(根区域和顶级域)一直向下部署到各个域名。同其他国际性活动类似,DNSSEC 需要许多机构和国家积极协调参与。
全球 DNSSEC 部署行动的规模、复杂性和影响表明,DNSSEC 要取得成功,政府和私营部门的政策制定者扮演着重要角色。负责电信、技术标准、商务、执法和国防安全方面国内和国际事务的政策制定者,他们眼光犀利、影响广泛,并能对 DNSSEC 的发展进程产生积极影响。 返回页首