前几天收到DNS服务商的邮件,说现在可以配置DNSSEC了,这无疑是提高站安全性的一项有效举措。
传统DNS服务器易被攻击,当ISP的区域性DNS服务器被黑客攻击后,往往使用该DNS的电脑用户访问特定网站时,会被黑客劫持到虚假的IP地址。为了防范DNS投毒,DNSSEC技术便应运而生。域名系统安全扩展(DNSSEC)可以视作是普通DNS的升级版,其和普通DNS的关系大致可以类比HTTP和HTTPS的关系。
Source: http://www.twisc.nctu.edu.tw/
DNSSEC利用公钥-私钥加密的原理,由根服务器逐级开始向下验证签名信息。以本站为例:
服务器首先查询根服务器的DNSKEY的记录,继而使用.zone中的记录验证com顶级域名服务的DNSKEY,然后通过com服务器提供信息验证derekwei.com域名的DNSKEY,最后通过域名DNS服务商提供的信息验证每一条反馈的DNS记录的真实性。大家有兴趣还可以查看一下本站的信任链图谱。
Reference:
https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
https://www.cc.ntu.edu.tw/chinese/epaper/0022/20120920_2206.html
https://blog.cloudflare.com/dnssec-an-introduction/