本节介绍如何配置和部署域名系统安全扩展 (DNSSEC) 和签名策略,如何使用硬件安全模块 (HSM) 配置和管理 DNSSEC,以及有关 DANE(基于 DNS 的名称实体验证)和 TLSA 记录的概念和参考信息。
DNS 是在互联网比现在更小以及更友好的时候开发的。它建立的基础是客户端和 DNS 服务器之间的隐式信任:客户端相信 DNS 服务器是可信的并且返回的数据是有效的。随着互联网的发展,DNS 模型容易受到恶意用户的攻击,恶意用户会劫持 DNS 服务器或拦截和欺骗数据。
DNSSEC 是一组用于解决 DNS 内安全风险的安全扩展。DNSSEC 通过使用公钥加密验证主机和数据来解决 DNS 安全性方面的差距。通过验证区域数据并验证用于签署区域数据的密钥,DNSSEC 确保主机是可信的且发送的数据未被篡改。通过证明区域数据的所有权,DNSSEC 几乎能够消除缓存中毒和类似的攻击。
注: 从 Address Manager v9.3.0 开始,当部署 DNS 服务或由于重新配置而重启该服务时,可能会发现 DNS 服务器在 syslog 中记录了其他 DNS 查询。这是对 DNSSEC 验证的根区域信任锚处理的更改造成的。这些消息不会影响服务或性能。