Skip to main content

7. Security Considerations (安全考虑)

7. Security Considerations (安全考虑)

本文档描述了 DNS 安全扩展如何使用公钥加密来签名和认证 DNS 资源记录集.有关 DNSSEC 相关的术语和一般安全考虑, 请参阅 [RFC4033]; 有关 DNSSEC 资源记录类型特定的考虑, 请参阅 [RFC4034].

能够在 DNS 查询消息中设置 CD 位或在 DNS 响应消息中设置 AD 位的主动攻击者 (active attacker) 可以使用这些位来破坏 DNSSEC 试图为安全无感知递归模式解析器 (security-oblivious recursive-mode resolver) 提供的保护.因此, 安全感知递归模式解析器使用这些控制位需要安全通道 (secure channel).有关进一步讨论, 请参见第 3.2.2 节和第 4.9 节.

本文档中描述的协议试图将 DNSSEC 的好处扩展到安全无感知存根解析器 (security-oblivious stub resolver).但是, 由于从验证失败中恢复可能特定于特定应用程序, DNSSEC 为存根解析器提供的设施可能被证明是不够的.安全感知递归名称服务器的操作员在选择本地验证策略时必须密切关注使用其服务的应用程序的行为; 如果不这样做, 很容易导致递归名称服务器意外拒绝为其旨在支持的客户端提供服务.

Last updated on