Frequently Asked Questions

DNSSEC 常见问题解答

Updated Time:2024-01-24  Views:15240

1、如何验证DNSSEC设置是否有效?

检查域名的DS记录: DNSSEC使用DS(Delegation Signer)记录将区域的密钥信息传播到上一级域。你可以使用在线工具或DNS查询工具来检查域名的DS记录是否正确。DS记录包含了用于验证域名的公钥信息。

检查域名的DNSKEY记录: DNSKEY记录包含用于验证数字签名的公钥。你可以通过DNS查询工具检查域名的DNSKEY记录,确保它们存在且正确。

可以使用dig命令检查:dig dnssec example.com

或者使用第三方在线工具检查DNSSEC链,如:https://dnsviz.net

2、DNSSEC是否可以防止域名被劫持和被污染?

DNSSEC可以防止域名被劫持,从而导致用户访问伪造的钓鱼网站,解析器可以通过查询DS记录验证应答结果的真实性和完整性,但是对于已经被劫持的域名是不能起到恢复正常解析的作用,如果域名被某些国家或者地区运营商加入黑名单,DNSSEC也是不能起到恢复正常解析的作用。

3、DNSSEC有没有什么缺点?

由于DNSSEC引入了数字签名和其他加密机制,DNS响应的大小变得更大,这可能导致增加的网络带宽需求和延迟。

虽然 DNSSEC 是互联网工程任务组(IETF)的标准,但仍有一些旧的设备或软件可能不支持 DNSSEC。这可能导致在某些情况下无法解析 DNSSEC 保护的域名。

4、随意修改DS记录参数会导致什么样的后果?

DS记录验证不通过可能会导致网站无法访问,DNS无法解析,请确保设置的DS记录是从DNS服务器提供商处获取到的最新参数,切勿随意修改。

Previous Topic: 如何使用DNSSEC ?
Next Topic: No Topic