DNSSEC是為解決DNS欺騙和快取Wu染而設計的安全機制,英文名稱叫Domain Name System Security Extensions,利用密碼技術,使得網域解析伺服器可以驗證它所收到的應答(包括網域不存在的應答)是否來自於真實的伺服器,或是否在傳輸過程中被竄改。
簡單地說DNSSEC可以防止DNS劫持,確保用戶在DNS解析的過程中要求的網域名稱與對應的IP位址一致性。之前在京東雲端DNS免費網域解析就有朋友建議DNSSEC+CAA來組合使用,這樣可以最大限度確保DNS解析的安全,這篇文章就以Google Cloud DNS設定DNSSEC來作為示範。
啟用DNSSEC需要網域註冊商、DNS網域解析商還有本地DNS支援DNSSEC技術三方的共同努力才行。國內的阿里雲、騰訊雲、百度雲等網域註冊商暫不了解是否支援DNSSEC,從我使用的GodaddyNameNameCheapNamesilo等常見的國外網域註冊商都是支援DNSSEC了。