什么是 DNSSEC,您是否应该为您的网站启用它?

DNS 是在 30 多年前设计的,当时安全并不是互联网的主要关注点 。如果没有额外的保护,MITM 攻击者就有可能欺骗记录并将用户引导到网络钓鱼站点 。阻止了这种情况,而且很容易开启 。
DNS 本身并不安全
DNS 系统没有内置方法来验证对请求的响应不是伪造的,或者过程的任何其他部分没有被攻击者中断 。这是一个问题,因为每当用户想要连接到您的网站时,他们都必须进行 DNS 查找以将您的域名转换为可用的 IP 地址 。如果用户从不安全的地方(例如咖啡店)进行连接,则恶意攻击者可能会坐在中间并欺骗 DNS 记录 。这种攻击可能允许他们通过修改 IP 地址 A 记录将用户重定向到恶意页面 。
幸运的是,有一个解决方案——,也称为 DNS 安全扩展,可以解决这些问题 。它通过使用公钥签署您的 DNS 记录来保护 DNS 查找 。启用后,如果用户收到恶意响应,他们的浏览器可以检测到 。攻击者没有用于签署合法记录的私钥,无法再伪造 。

什么是 DNSSEC,您是否应该为您的网站启用它?

文章插图
的密钥签名一直沿链而上 。当您连接到 时,您的浏览器首先连接到由 IANA 管理的 DNS 根区域,然后连接到扩展的目录(.com例如),然后连接到您的域的名称服务器 。当您连接到 DNS 根区域时,您的浏览器将检查由 IANA 管理的根区域签名密钥以验证它是否正确,然后是.com 目录签名密钥(由根区域签名),然后是您站点的签名密钥,即由.com 目录签名,不可伪造 。
值得注意的是,在不久的将来,这不会是一个大问题 。DNS 正在转移到 HTTPS,这将保护它免受各种 MITM 攻击,使变得不必要,并防止 ISP 监视您的浏览历史——这解释了康卡斯特为什么要游说反对它 。尽管如此,它是和中的一项可选功能( 很快将支持操作系统),因此您仍然希望在此期间启用。
如何启用
如果您正在运行一个网站,尤其是处理用户数据的网站,您需要打开以防止任何 DNS 攻击媒介 。它没有任何缺点,除非您的 DNS 提供商仅将其作为“高级”功能提供,就像一样 。在这种情况下,我们建议您使用合适的 DNS 提供商,例如DNS,他们不会为了基本安全而对您一分钱一分货 。您可以在此处阅读我们的使用指南,或阅读有关转移域的更多信息。
【什么是 DNSSEC,您是否应该为您的网站启用它?】
什么是 DNSSEC,您是否应该为您的网站启用它?

文章插图
如果您使用的是,则设置实际上只是一个按钮,可在域控制台的“DNS”下侧边栏中找到 。选中“启用 ” 。这将需要几个小时才能完成并签署所有必需的密钥 。还完全支持基于 HTTPS 的 DNS,因此启用该功能的用户将完全安全 。
对于 ,此选项也只是域设置中“高级 DNS”下的切换,并且完全免费:
如果您使用的是 AWS Route 53,很遗憾,它不支持。这是弹性 DNS 功能的一个必要缺点,它首先使它变得很棒:别名记录、DNS 级别负载平衡、健康检查和基于延迟的路由等功能 。由于 Route 53 无法在每次更改时合理地对这些记录进行签名,因此是不可能的 。但是,如果您使用自己的域名服务器或不同的 DNS 提供商,仍然可以为使用 Route 53注册的域启用 ,但 不能为使用 Route 53 作为其 DNS 服务的域 。