DNSSec是什么

DNSSec（域名系统安全扩展，Domain Name System Security Extensions）是 Internet 工程任务组 （IETF）的对确保由域名系统 （DNS）中提供的关于互联网协议 （IP）网络使用特定类型的信息规格套件。它是对 DNS 提供给 DNS 客户端（解析器）的 DNS 数据来源进行认证，并验证不存在性和校验数据完整性验证，但不提供或机密性和可用性。

域名系统（DNS）的原始设计不包含任何安全细节；相反的，它被设计成一个可扩增的分散式系统(Distributed system)。域名系统安全扩展（DNSSEC）尝试在其中添加安全性，同时仍保持向后兼容性。 RFC 3833 记录了 DNS 的一些已知威胁以及 DNSSEC 如何应对这些威胁。

DNSSEC 旨在保护应用程式（以及服务这些应用程式的缓存解析器）免受伪造或不当操纵的 DNS 数据所造成的影响（例如域名服务器缓存污染的数据）。来自 DNSSEC 保护区的所有答案都经过数位签章。通过检验数位签章，DNS 解析器可以核查信息是否与区域所有者发布的信息相同（未修改和完整），并确系实际负责的 DNS 服务器所提供。虽然保护 IP 地址的正确性是许多用户关注 DNSSEC 的直接课题，DNSSEC 还可以保护 DNS 中发布的其他任何数据：包括文本记录（TXT）和邮件交换记录（MX），并可用于引导发布参照存储在 DNS 中的加密证书的其他安全系统：例如证书记录（CERT 记录，RFC 4398），SSH 指纹（SSHFP，RFC 4255），IPSec 公钥（IPSECKEY，RFC 4025）和 TLS 信任锚（TLSA，RFC 6698）。

2010 年 7 月 18 日，根域名服务器（root-servers.net）已经完成 DNSSEC 签名。

目前已部署在.com、.net、.org、.int、.edu、.mil 和.gov 等顶级域，以及部分国家和地区顶级域（ccTLD）。