刚刚给网站配置了DNSSEC

前几天收到DNS服务商的邮件,说现在可以配置DNSSEC了,这无疑是提高站安全性的一项有效举措。

传统DNS服务器易被攻击,当ISP的区域性DNS服务器被黑客攻击后,往往使用该DNS的电脑用户访问特定网站时,会被黑客劫持到虚假的IP地址。为了防范DNS投毒,DNSSEC技术便应运而生。域名系统安全扩展(DNSSEC)可以视作是普通DNS的升级版,其和普通DNS的关系大致可以类比HTTP和HTTPS的关系。

Source: http://www.twisc.nctu.edu.tw/

DNSSEC利用公钥-私钥加密的原理,由根服务器逐级开始向下验证签名信息。以本站为例:

服务器首先查询根服务器的DNSKEY的记录,继而使用.zone中的记录验证com顶级域名服务的DNSKEY,然后通过com服务器提供信息验证derekwei.com域名的DNSKEY,最后通过域名DNS服务商提供的信息验证每一条反馈的DNS记录的真实性。大家有兴趣还可以查看一下本站的信任链图谱

Reference:

https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

https://www.cc.ntu.edu.tw/chinese/epaper/0022/20120920_2206.html

https://blog.cloudflare.com/dnssec-an-introduction/

发表评论

电子邮件地址不会被公开。 必填项已用*标注