域名系統安全擴展(英語:Domain Name System Security Extensions,縮寫為DNSSEC)是Internet工程任務組(IETF)的對確保由域名系統 (DNS)中提供的關於網際網路協定 (IP)網路使用特定類型的信息規格包。
基本介紹
- 中文名:域名系統安全擴展
- 外文名:Domain Name System Security Extensions
- 縮寫:DNSSEC
- 提出者:Internet工程任務組
- 學科:計算機
- 領域:計算機
定義,資源記錄類型,RRSIG,DNSKEY,DS,現狀及問題,部署,參見,
定義
域名系統安全擴展(英語:DomainNameSystemSecurity Extensions,縮寫為DNSSEC)是Internet工程任務組(IETF)的對確保由域名系統(DNS)中提供的關於網際網路協定 (IP)網路使用特定類型的信息規格包。它是對DNS提供給DNS客戶端(解析器)的DNS數據來源進行認證,並驗證不存在性和校驗數據完整性驗證,但不提供或機密性和可用性。
資源記錄類型
這裡所指的資源記錄類似於現有的A記錄、CNAME記錄以及TXT記錄。新增三種資源記錄類型:RRSIG (Resource Record Signature)、DNSKEY (DNS Public Key)、DS (Delegation Signer)詳細內容如下:
RRSIG
資源記錄簽名,該記錄用於存放我們當前域名每一條記錄的 DNSSEC 簽名。
格式
- 算法類型 (參考附錄「算法類型列表」)
- 標籤 (泛解析中原先 RRSIG 記錄的名稱)
- 原 TTL 大小
- 簽名失效時間
- 簽名簽署時間
- Key 標籤 (一個簡短的數值,用來迅速判斷應該用那個 DNSKEY 記錄來驗證)
- 簽名名稱 (用於驗證該簽名的 DNSKEY 名稱)
- 加密簽名
DNSKEY
該記錄用於存放我們用於檢查 DNSSEC 簽名的公鑰。
格式
- 標識符 (Zone Key (DNSSEC密鑰集) 以及 Secure Entry Point (KSK和簡單密鑰集))
- 協定 (固定值3 向下兼容)
- 算法類型 (參考附錄「算法類型列表」)
- 公鑰內容
DS
該記錄用於存放 DNSSEC 公鑰的散列值。
格式
- Key 標籤 (一個簡短的數值,用來迅速判斷應該用那個 DNSKEY 記錄來驗證)
- 算法類型
- 摘要類型 (創建摘要值的加密散列算法)
現狀及問題
(1)無法保證私密性
DNSSEC 並沒有改變 DNS 基於 UDP 的通訊方式,數據流也都是明文傳輸,他所做的只是加上了一個數字簽名,而中間人依然可以看到你請求了什麼、結果是什麼
(2)挾持發生時不能告訴用戶真正的記錄
當用戶的 DNS 被挾持的時候,用戶通過檢查 DNSSEC 簽名,可以知道自己得到的並不是真正的解析結果,而是得到了一個被偽造的地址。但是,用戶並不知道真正的解析結果是什麼。
