什么是 DNSSEC ?

域名系统(DNS)的原始设计不包含任何安全细节;相反的,它被设计成一个可扩增的分布式系统(Distributed system)。域名系统安全扩展(DNSSEC)尝试在其中添加安全性,同时仍保持向后兼容性。 RFC 3833记录了DNS的一些已知威胁以及DNSSEC如何应对这些威胁。
DNSSEC旨在保护应用程序(以及服务这些应用程序的缓存解析器)免受伪造或不当操纵的DNS数据所造成的影响(例如域名服务器缓存污染的数据)。来自DNSSEC保护区的所有答案都经过数字签名。通过检验数字签名,DNS解析器可以核查信息是否与区域所有者发布的信息相同(未修改和完整),并确系实际负责的DNS服务器所提供。虽然保护IP地址的正确性是许多用户关注DNSSEC的直接课题,DNSSEC还可以保护DNS中发布的其他任何数据:包括文本记录(TXT)和邮件交换记录(MX),并可用于引导发布引用存储在DNS中的加密证书的其他安全系统:例如证书记录(CERT记录,RFC 4398),SSH指纹(SSHFP,RFC 4255),IPSec公钥(IPSECKEY,RFC 4025)和TLS信任锚(TLSA,RFC 6698)。
摘自 wikipedia : 域名系统安全扩展

阿里云解析开启 DNSSEC

阿里云解析的 DNSSEC 需要付费版 DNS 才能使用,不限版本
转到 云解析DNS->域名解析->DNS安全->DNSSEC开启即可
1

配置

要在域名注册服务商配置DS记录才能生效
以阿里云为例
https://dc.console.aliyun.com/
2

完成

dnssec-analyzer.verisignlabs.com 可以检测 DNSSEC 是否生效
3

本文作者 : 肥猪qwq 转载请注明出处

© 允许规范转载
让我们陷入困境的不是无知,而是看似正确的谬误论断。