DNSSEC简介
DNSSEC(DNS Security Extensions)通过数字签名为DNS响应添加身份验证和完整性保护。它解决了DNS协议设计之初缺乏安全机制的问题,防止DNS缓存投毒和中间人攻击。
工作原理
密钥层级
DNSSEC使用公钥密码学建立信任链:根区域(.) → 顶级域(.com) → 二级域名(example.com)。每个区域有两对密钥:KSK(Key Signing Key,签名DNSKEY记录)和ZSK(Zone Signing Key,签名其他记录)。
记录类型
- RRSIG:DNS记录的数字签名
- DNSKEY:区域的公钥
- DS(Delegation Signer):子域名的密钥摘要,存储在父域中
- NSEC/NSEC3:证明某个域名不存在(防止区域枚举)
部署步骤
使用Cloudflare(推荐)
Cloudflare提供一键启用DNSSEC。登录控制台 → DNS设置 → 启用DNSSEC → 将生成的DS记录添加到域名注册商。整个过程不到5分钟。
自建BIND
生成KSK和ZSK密钥对,配置BIND签名区域文件,将DS记录提交给上级域名服务器。需要定期轮换ZSK(每月)和KSK(每年)。
验证测试
使用dig命令验证:dig +dnssec example.com。看到RRSIG记录和AD标志表示DNSSEC验证通过。在线工具:dnsviz.net可视化展示DNSSEC信任链。verisignlabs.com/dnssec/可以检查DNSSEC配置完整性。
常见问题
DS记录不匹配:密钥轮换后忘记更新父域的DS记录。解决:自动化密钥轮换流程。解析失败:DNSSEC签名过期或配置错误导致域名无法解析。解决:配置签名有效期监控告警。部分解析器不验证:不是所有递归解析器都验证DNSSEC,但启用DNSSEC不影响不验证的解析器。