DNS 根区域包含有关如何查询顶级域(TLD)名称服务器(.com、.edu 和.org 等)的信息。它使互联网用户能够访问所有顶级域,甚至像 .software 和 .bank 这样的全新域名,使其成为全球互联网不可或缺的组成部分。
在 DNSSEC 如何工作一文中,我们解释了 DNSSEC 中的信任如何从父区域的 DS 资源记录衍生出来。然而,DNS 根区没有父区,所以我们如何能信任其信息的完整性和真实性呢?
图片来源:IANA
这就是根签名仪式的目的。这是一个严格的程序,旨在为未来几个月内的 DNS 根区域公共密钥信息进行签名。这个过程中使用的私有签名密钥实际上是受 DNSSEC 保护的整个互联网的密钥。为访问这个密钥而举行一个公开、经过审计、受到严格控制的仪式,这是 DNSSEC 作为一个全球标准取得成功的必要条件。
Ólafur Guðmundsson 是 Cloudflare 的工程经理,也是 ICANN 的加密官,他参加了今年八月的仪式。以下是他对根签名仪式的回忆。
dig .dnskey +dnssec
. 20868 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=
. 20868 IN DNSKEY 256 3 8 AwEAAa67bQck1JjopOOFc+iMISFcp/osWrEst2wbKbuQSUWu77QC9UHL ipiHgWN7JlqVAEjKITZz49hhkLmOpmLK55pTq+RD2kwoyNWk9cvpc+tS nIxT7i93O+3oVeLYjMWrkDAz7K45rObbHDuSBwYZKrcSIUCZnCpNMUtn PFl/04cb
. 20868 IN RRSIG DNSKEY 8 0 172800 20150913235959 20150830000000 19036 . QKU/YSUHNXa0coshORV2r8o0PWZ43dn/u1ml4DglqLXTi2WJh+OyMFgi w4Xc7cF4T8Eab5TLbwqDHOrE87fmvcdSgQQOVwYN6jwStHAliuEICs6X rd+sqanyyMpaynLI630k5PuuQVOWxHn/Hyn4yFN5MJoQG9Pz+gn8FjCB oNGs0vu1TQm2m6DSGfjRTd7tRIchXAbOUvEVVnDWaTNPX3c35xqoHlUZ Ta00N9FvKqEwZDjdR1e0BCaDLL/Pk+CRygzOyfSKiuULzKEecsp3jPYY nXfKZmTuMuaQNRmcyJD+WSFwi5XyRgqrnxWUYmFcum4zw1NXdyp0mlGO slQ6NQ==
根签名仪式将根 DNS 名称服务器变成一个信任锚。信任不是从某个父区域衍生,而是假定的。整个仪式旨在加强这种信任。这是保障互联网安全的一个非常人性化的方面:您之所以可以信任 DNS 根服务器,是因为您可以信任为它签名的人。而且,您之所以可以信任签名的人,是因为他们在这样做时遵循严格的协议。这就是根签名仪式的意义所在。
在不到 5 分钟内建立域名。保留您的托管服务提供商。 不需要更改代码。