DNSSEC 是什麼？提升 DNS 安全的技術 DNSSEC｜Skycloud

DNSSEC 介紹

　DNSSEC 網域名稱系統安全性擴充 (Domain Name System Security Extensions)，它是一種安全性協定，是進階的 DNS 安全擴充功能，可以加強保護 DNS 網域名稱系統的另一層的安全保障，保證 DNS 查詢結果的真實與完整性。

　網域名稱系統(DNS) 的原始設計，不包含任何安全細節，它被設計成一個可以擴增的分散式系統，而 DNSSEC 則嘗試在 DNS 中添加其安全性，DNSSEC 會以數位方式簽屬 DNS紀錄，確保這些紀錄在傳輸過程中沒有遭到竄改或偽造，防止惡意攻擊者將網路流量重新導向到擁有惡意內容的網站。

　簡單來說，我們可以將 DNS 理解為網路上的 GPS導航，透過導航，我們能在網路上順利找到網站的IP地址並進入瀏覽；但是如果有惡意人士，刻意竄改導航的路標，我們就會走錯路、找不到目標地址，而 DNSSEC 就是防止這類情形發生，確保我們不會因為惡意人士的竄改或偽造而偏離正確道路。

DNSSEC 的優點和重要性

　自 DNS 開始以來，DNS 快取汙染和偽造是全球 DNS 基礎架構中已知的漏洞，這發生在攻擊者欺騙 DNS名稱伺服器儲存不正確的紀錄，讓攻擊者能夠脅持網站的流量，當使用者在網站瀏覽器中搜尋企業網站時，則可能被導向不正確的網站。

　而 DNSSEC 的優點，則是能夠提升安全性和防禦網路攻擊，同時提升使用者的保障，像是政府、金融、醫療...等高敏感性網站，若有部署 DNSSEC 即可降低 DNS攻擊導致的假網站詐騙風險，如釣魚網站(phishing)、偽造回應(DNS Spoofing) 或快取汙染(Cache Poisoning)。

　除此之外， DNSSEC 也保障了使用者能夠順利前往要瀏覽的網站而不迷路，因此部署 DNSSEC 是相當重要的網路安全考量之一。

DNSSEC 的限制

　儘管 DNSSEC 能強化網域名稱系統(DNS) 的安全性，但在實務上仍存在一些限制與挑戰，比如部署與維護較為複雜、需要管理加密金鑰和定期更新簽章，若設定錯誤，甚至可能導致網域無法解析。

DNSSEC 工作原理

　DNSSEC 是透過數位簽章與公開金鑰加密技術，確保 DNS回應的完整性與來源真實性，而其核心目標，則是防止資料在傳輸途中被竄改或偽造。這些數位簽章與 A、AAAA、MX、CNAME…等常見紀錄類型被一起儲存在 DNS 中，透過檢查相關簽名，驗證請求的 DNS 紀錄是否來自合法來源的伺服器。

DNSSEC 的工作原理以數位簽章為核心，透過：

• 私鑰簽章、公開金鑰驗證

• 建立信任鏈(從根域往下)

• 使用 RRSIG、DNSKEY、DS、NSEC 等記錄

確保 DNS 回應的「完整性」與「真實性」，是防禦 DNS 欺騙攻擊的重要基礎技術。

使用公開金鑰加密驗證資料完整性

DNSSEC 不是加密資料內容，而是對 DNS回應做數位簽章，讓查詢者可以驗證資料是否來自合法來源，且未被修改。

運作流程：

• 區域管理者(如 skycloud.com.tw) 使用私鑰對其 DNS 資料(例如 A 記錄、MX 記錄等) 產生簽章(RRSIG 紀錄)。

• 查詢者收到回應後，會使用對應的公鑰(DNSKEY 紀錄)來驗證該筆簽章是否正確。

• 若驗證通過，表示該資料是正確且未遭竄改的。

建立信任鏈 Chain of Trust

為了防止偽造 DNSKEY（公鑰），DNSSEC 採用一層層的「信任鏈」：

1. **根域(.) **儲存 .com 的 DS (Delegation Signer) 紀錄。

2. .com 的 DNS 記錄中儲存 skycloud.com.tw 的 DS 記錄。

3. skycloud.com.tw 的 DNS 回應中包含自己的 DNSKEY 與對資料的簽章。

如此一來，查詢者可以從「根」開始逐層驗證每一層的公鑰與簽章是否可信。

信任鏈舉例/ 查詢 www.skycloud.com.tw，系統會依序驗證：

• 根(.) 的簽章 → .tw 的簽章 → skycloud.com.tw 的簽章 → 最終的 DNS 回應

DNSSEC 使用的主要記錄類型

• RRSIG DNS：
  資料的數位簽章(Resource Record Signature)，資源記錄除了A和AAAA之外，也包括DNSKEY、DS、NSEC等記錄，RRSIG用於存放各個資源記錄的簽章。

• DNSKEY：
  記錄用於存放用於檢查 RRSIG 的公開鑰匙。

• DS：
  委派簽章者(Delegation Signer)，父域提供的指紋，用來驗證子域的 DNSKEY。

• NSEC/NSEC3：
  即下一個安全(Next Secure) 記錄，用於明確表示特定域名的記錄不存在，是回應「這筆資料不存在」的證明，防止假裝資料不存在的攻擊(如 NXDOMAIN spoofing)。

資料不存在的驗證：NSEC / NSEC3

　在傳統 DNS 中，當資料不存在，例如不存在的子域，攻擊者可能假冒一個「不存在」的回應。

　DNSSEC 提供 NSEC 或 NSEC3 記錄來證明某筆資料確實不存在，並同樣附上簽章進行驗證，防止這類攻擊。

如何啟用 DNSSEC

要如何啟用 DNSSEC，主要分成兩個層面。

• 網域擁有者(網站管理者) 設定 DNSSEC 紀錄

• DNS 解析端 (ISP或終端使用者) 啟用驗證功能

以下使用網站管理者的角度說明啟用流程。

1. 確認 DNS 主機是否支援 DNSSEC
   確認使用的 DNS 主機有沒有支援 DNSSEC 功能，現代大多數的 DNS提供商都有內建支援 DNSSEC，如騰雲運算 DNS服務。

2. 啟用並產生金鑰與簽章
   在 DNS主機後台啟用 DNSSEC 時，系統會自動產生一對金鑰(KSK與ZSK)，並且對你的 DNS 紀錄進行數位簽章(產生 RRSIG、DNSKEY、NSEC 等紀錄)，這些紀錄會自動加入你的 DNS區域檔中。

3. 將 DS 記錄提交給域名註冊商
   為了建立信任鏈，需將你的 DNSSEC DS(Delegation Signer)紀錄提交至你的域名註冊商，這一步是讓上層域(如 .com) 能驗證你網站的 DNSKEY，建立完整信任鏈的關鍵。

4. 測試 DNSSEC 是否正確啟用

我的網站要用 DNSSEC 嗎？

　網站是否要啟用 DNSSEC 取決於網站的類型與資安重視程度，若網站涉及敏感資訊交換，如政府機關、金融、醫療或電商平台...等，建議務必啟用 DNSSEC 來防止 DNS偽造和快取汙染等攻擊，即使是一般的企業或品牌網站，若希望提升信任度與資安考量，也可以考慮部屬 DNSSEC，避免網站被導向惡意內容的網站，降低網路釣魚的詐騙風險。

　如騰雲運算的 Smart DNS 服務，全球節點部署，自動導流至最近節點，解析快速、穩定性高，且支援 Smart DNS 與  DNSSEC ，確保可靠性與解析安全性。

　總結來說，不是每個網站都一定要使用 DNSSEC 的服務，但是對於重視網站安全與使用者保障的網站而言，DNSSEC 是一項值得部屬的安全強化機制。