-DNSSEC 資源記錄(來源:InfoBlox)
DNSSEC使用數字簽名確保DNS 數據的完整性,而 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 保護機密性。
以下是一些最重要的 DNSSEC 資源記錄 (RR):
. DS(委託簽名者)
. DNSKEY(DNS 公鑰)
. RRSIG(資源記錄簽名)
DS(委託簽名者)
DS RR 包含子區域 KSK 的哈希值,可用作某些具有安全意識的解析器中的信任錨,並為 DNS 服務器中的簽名子區域創建安全委派點。如圖 22.1 所示,父區域 corpxyz.com 中的 DS RR 包含子區域 sales.corpxyz.com 的 KSK 的哈希值,而子區域 sales.corpxyz.com 的 DS 記錄又包含其子區域的 KSK 的哈希值, nw.sales.corpxyz.com。
-資料來源:InfoBlox
DNSKEY(DNS 公鑰)
當權威名稱服務器對區域進行數字簽名時,它通常會生成兩個密鑰對,一個區域簽名密鑰 (ZSK) 對和一個密鑰簽名密鑰 (KSK) 對。
名稱服務器使用ZSK 對的私鑰對區域中的每個 RRset 進行簽名。(RRset 是一組具有相同所有者、類別和類型的資源記錄。)它將 ZSK 對的公鑰存儲在 DNSKEY 記錄中。
然後名稱服務器使用KSK 對的私鑰對所有 DNSKEY 記錄進行簽名,包括它自己的記錄,並將相應的公鑰存儲在另一個 DNSKEY 記錄中。
因此,一個區域通常有兩個 DNSKEY 記錄;保存 ZSK 對公鑰的 DNSKEY 記錄,以及 KSK 對公鑰的另一個 DNSKEY 記錄。
資料來源:InfoBlox
R RSIG(資源記錄簽名)
一個簽名區域有多個 RRset,每個記錄類型和所有者名稱一個。(所有者是RRset 的域名。)當權威名稱服務器使用ZSK 對的私鑰對區域中的每個RRset 進行簽名時,每個RRset 上的數字簽名都存儲在RRSIG 記錄中。因此,簽名區域包含每個 RRset 的 RRSIG 記錄。
資料來源:InfoBlox
參考
. DNSSEC – 回顧
. DNSSEC – 它是什麼以及為什麼重要?
. 域名系統安全擴展
. DNSSEC 的工作原理
. DNSSEC:它的工作原理和主要考慮因素
. RFC 4033:DNS 安全介紹和要求
. RFC 4034:DNS 安全擴展的資源記錄
. RFC 4035:DNS 安全擴展的協議修改
. 基於 HTTPS 的 DNS
. 如何配置 DoT/DoH
. DNSKEY 資源記錄
資料來源: Wentz Wu QOTD-20210809
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文