根 DNS 區域包含有關如何查詢頂層網域 (TLD) 名稱伺服器 (.com、.edu、.org、等),使網際網路使用者能夠存取所有 TLD 中的網域,甚至是全新的網域,如 .software 和 .bank,使其成為全球網際網路不可或缺的一部分。
在 DNSSEC 的工作原理中,我們介紹了如何從父區域的 DS 資源記錄衍生出對 DNSSEC 的信任。但是,根 DNS 區域沒有父區域,於是我們如何信任其資訊的完整性和真實性呢?
照片提供:IANA
這就是根簽署儀式的目的—關於在接下來的幾個月中對根 DNS 區域的公開金鑰資訊進行簽署的嚴格程序。在此程序中使用的私有簽署金鑰實際上是整個受 DNSSEC 保護的網際網路的金鑰。圍繞存取此金鑰的公開、經過審核且嚴格控制的儀式是 DNSSEC 成功成為全球標準的必要條件。
8 月,Cloudflare 的工程經理及 ICANN 的加密人員 Ólafur Guðmundsson 參加了儀式。這些是他對根簽署儀式的反思。
深入探討dnskey +dnssec
. 20868 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=
. 20868 IN DNSKEY 256 3 8 AwEAAa67bQck1JjopOOFc+iMISFcp/osWrEst2wbKbuQSUWu77QC9UHL ipiHgWN7JlqVAEjKITZz49hhkLmOpmLK55pTq+RD2kwoyNWk9cvpc+tS nIxT7i93O+3oVeLYjMWrkDAz7K45rObbHDuSBwYZKrcSIUCZnCpNMUtn PFl/04cb
. 20868 IN RRSIG DNSKEY 8 0 172800 20150913235959 20150830000000 19036 . QKU/YSUHNXa0coshORV2r8o0PWZ43dn/u1ml4DglqLXTi2WJh+OyMFgi w4Xc7cF4T8Eab5TLbwqDHOrE87fmvcdSgQQOVwYN6jwStHAliuEICs6X rd+sqanyyMpaynLI630k5PuuQVOWxHn/Hyn4yFN5MJoQG9Pz+gn8FjCB oNGs0vu1TQm2m6DSGfjRTd7tRIchXAbOUvEVVnDWaTNPX3c35xqoHlUZ Ta00N9FvKqEwZDjdR1e0BCaDLL/Pk+CRygzOyfSKiuULzKEecsp3jPYY nXfKZmTuMuaQNRmcyJD+WSFwi5XyRgqrnxWUYmFcum4zw1NXdyp0mlGO slQ6NQ==
根簽署儀式將根 DNS 名稱伺服器轉換為信任錨。信任不是從父區域衍生的,而是假定信任。整個儀式旨在加強這種信任。這是保護網際網路的一個非常人性化的方面:您可以信任根 DNS 伺服器的原因是因為您可以信任簽署的人。而且,您可以信任簽署它的人的原因是因為他們這樣做時遵循嚴格的通訊協定。這就是根簽署儀式的全部意義所在。
在 5 分鐘內建立網域。保留您的代管提供者。無需更改程式碼。