DNSSEC(域名系统安全扩展)
DNS 记录上的加密签名,让解析器能够验证响应是真实的,且在传输过程中未被伪造或篡改。
发表于 2026年5月22日作者 Namefi 团队
- glossary
**DNSSEC(域名系统安全扩展)**是对 DNS (域名系统)协议的一组加密扩展,让解析器能够验证 DNS 响应的真实性和完整性。没有 DNSSEC,攻击者可以在解析器与权威服务器之间的路径上伪造或篡改 DNS 响应,将用户重定向到恶意基础设施。有了 DNSSEC,记录会被签名,信任链通过 DS 记录从 DNS 根向下贯穿每个区域。DNSSEC 规范见 RFC 4033 及相关 RFC。域名代币化并不会改变 DNSSEC——信任链仍然通过注册商和注册局运行,DS 记录的发布方式也完全相同。许多 DNS 提供商(Cloudflare、Route53)在启用 DNSSEC 时会自动对区域进行签名。
相关关键词
- DNSSEC
- DNS 安全
- 域名安全
- DS 记录
- 信任链
- 加密 DNS