域名系統安全擴充

域名系統安全擴充（英語：Domain Name System Security Extensions，縮寫為DNSSEC）是Internet工程任務組（IETF）的對確保由域名系統（DNS）中提供的關於互聯網協定（IP）網絡使用特定類型的資訊規格套件。它是對DNS提供給DNS客戶端（解析器）的DNS數據來源進行認證，並驗證不存在性和校驗數據完整性驗證，但不提供機密性和可用性^[1]。

概述

域名系統（DNS）的原始設計不包含任何安全細節；相反的，它被設計成一個可擴增的分散式系統(Distributed system)。域名系統安全擴展（DNSSEC）嘗試在其中添加安全性，同時仍保持向下相容性。 RFC 3833記錄了DNS的一些已知威脅以及DNSSEC如何應對這些威脅。

DNSSEC旨在保護應用程式（以及服務這些應用程式的快取解析器）免受偽造或不當操縱的DNS數據所造成的影響（例如域名伺服器快取污染的數據）。來自DNSSEC保護區的所有答案都經過數碼簽章。通過檢驗數碼簽章，DNS解析器可以核查資訊是否與區域所有者發佈的資訊相同（未修改和完整），並確係實際負責的DNS伺服器所提供。雖然保護IP位址的正確性是許多用戶關注DNSSEC的直接課題，DNSSEC還可以保護DNS中發佈的其他任何數據：包括文字記錄（TXT）和郵件交換記錄（MX），並可用於引導發佈參照儲存在DNS中的加密證書的其他安全系統：例如證書記錄（CERT記錄，RFC 4398），SSH指紋（SSHFP，RFC 4255），IPSec公鑰（IPSECKEY，RFC 4025）和TLS信任錨（英語：Trust anchor）（TLSA，RFC 6698）。

DNSSEC 新增的資源記錄

DNSSEC新增的記錄如下^[2]

RRSIG

即資源記錄簽章（英語：Resource Record Signature），資源記錄除了A和AAAA之外，也包括DNSKEY、DS、NSEC等記錄，RRSIG用於存放各個資源記錄的簽章，包括

演算法類型
標籤 (泛解析中原先 RRSIG 記錄的名稱)
原 TTL 大小
簽章失效時間
簽章簽署時間
Key 標籤 (用來迅速判斷應該用那個 DNSKEY 記錄來驗證的一個數值)
簽章名稱 (用於驗證該簽章的 DNSKEY 名稱)
簽章

DNSKEY

該記錄用於存放用於檢查 RRSIG 的公鑰。其包括

識別碼 (Zone Key (DNSSEC金鑰集) 以及 Secure Entry Point (KSK和簡單金鑰集))
協定 (固定值3 向下相容)
演算法類型
公鑰內容

DS

即委派簽章者（英語：Deligated Signer），該記錄用於存放 DNSKEY 中公鑰的雜湊值，包括

Key 標籤：用來判斷應該用哪個 DNSKEY 記錄進行驗證的一個數值
演算法類型：常見的有RSASHA1、RSASHA256、ECDSAP256SHA256，具體可參考附錄「演算法類型列表」
摘要類型：建立摘要值的加密雜湊演算法，主要使用SHA256，具體可參考附錄「摘要類型列表」
摘要內容: 一串雜湊數據，由DNSKEY經由摘要類型演算法得出

NSEC和NSEC3

即下一個安全（英語：Next Secure）記錄，用於明確表示特定域名的記錄不存在。

CDNSKEY和CDS

用於請求對父區域中的 DS 記錄進行更新的子區域。

部署

2010年7月18日，根域名伺服器（root-servers.net）已經完成DNSSEC簽章^[3]。

目前已部署在.com、.net、.org、.int、.edu、.mil和.gov等頂級域(gTLD)，以及部分國家和地區頂級域（ccTLD）^[4]。

參見

外部連結

^ DNSSEC安全技術簡介. [2013-08-15]. （原始內容存檔於2012-12-20）.
^ DNSSEC 如何运作. www.cloudflare.com. [2021-10-24]. （原始內容存檔於2022-03-25）（中文（中國大陸））.
^ available from IANA. [2013-07-19]. （原始內容存檔於2017-08-10）.
^ DNSSEC部署情形參見維基英文版List_of_Internet_top-level_domains(此英文條目對應之中文版本無此內容)

組織和網站

DNSSEC（頁面存檔備份，存於互聯網檔案館） - DNSSEC information site: DNSSEC.net
DNSEXT DNS Extensions IETF Working Group
CircleID - News and Opinions on all DNSSEC related issues （頁面存檔備份，存於互聯網檔案館）
DNSSEC-Tools Project（頁面存檔備份，存於互聯網檔案館）
DNSSEC Deployment Coordination Initiative（頁面存檔備份，存於互聯網檔案館）
DNSSEC Deployment Team（頁面存檔備份，存於互聯網檔案館）
ICANN DNS Operations Team（頁面存檔備份，存於互聯網檔案館）

標準文件

RFC 2535 Domain Name System Security Extensions
RFC 3833 A Threat Analysis of the Domain Name System
RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
RFC 4398 Storing Certificates in the Domain Name System (DNS)
RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing
RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
RFC 5155 DNSSEC Hashed Authenticated Denial of Existence
RFC 6781 DNSSEC Operational Practices, Version 2

其他文件

A Fundamental Look at DNSSEC, Deployment, and DNS Security Extensions （頁面存檔備份，存於互聯網檔案館） by Geoff Huston
A short timeline of DNSSEC by Miek Gieben
Enabling secure name resolution using DNSSEC for various applications （頁面存檔備份，存於互聯網檔案館）
DNSSEC Howto by Olaf Kolkman (RIPE NCC/NLnet Labs)
Howto secure your (reverse) Zone （頁面存檔備份，存於互聯網檔案館） by Holger Zuleger
Easier Email Security is on the Way? （頁面存檔備份，存於互聯網檔案館）
"DNSSEC and the Zone Enumeration" by Marcos Sanz^{[永久失效連結]}
DNSSEC BRIEFING and Root Zone Signing (Part I) （頁面存檔備份，存於互聯網檔案館）, ccTLD paper on DNSSEC by ccNSO, February 2008
DNSSEC in 6 Minutes by Alan Clegg, Internet Systems Consortium (PDF-Datei; 315 kB)
Implementing DNSSEC （頁面存檔備份，存於互聯網檔案館） Cisco Internet Protocol Journal
ICANN's TLD DNSSEC Report（頁面存檔備份，存於互聯網檔案館） (generated daily)
DNSSEC is unnecessary - Against DNSSEC（頁面存檔備份，存於互聯網檔案館）
DNSSEC is necessary - For DNSSEC（頁面存檔備份，存於互聯網檔案館）

[1] DNSSEC安全技術簡介. [2013-08-15]. （原始內容存檔於2012-12-20）.

[2] DNSSEC 如何运作. www.cloudflare.com. [2021-10-24]. （原始內容存檔於2022-03-25）（中文（中國大陸））.

[dnssec-status-live-3] vailable from IANA. [2013-07-19]. （原始內容存檔於2017-08-10）.

[4] DNSSEC部署情形參見維基英文版List_of_Internet_top-level_domains(此英文條目對應之中文版本無此內容)

[1]

[2]

[3]

[4]