DNS 安全扩展 (DNSSEC)

-DNSSEC 资源记录（来源：InfoBlox）
DNSSEC使用数字签名确保DNS 数据的完整性，而 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 保护机密性。
以下是一些最重要的 DNSSEC 资源记录 (RR)：
. DS（委托签名者）
. DNSKEY（DNS 公钥）
. RRSIG（资源记录签名）

DS（委托签名者）
DS RR 包含子区域 KSK 的哈希值，可用作某些具有安全意识的解析器中的信任锚，并为 DNS 服务器中的签名子区域创建安全委派点。如图 22.1 所示，父区域 corpxyz.com 中的 DS RR 包含子区域 sales.corpxyz.com 的 KSK 的哈希值，而子区域 sales.corpxyz.com 的 DS 记录又包含其子区域的 KSK 的哈希值, nw.sales.corpxyz.com。
-资料来源：InfoBlox

DNSKEY（DNS 公钥）
当权威名称服务器对区域进行数字签名时，它通常会生成两个密钥对，一个区域签名密钥 (ZSK) 对和一个密钥签名密钥 (KSK) 对。
名称服务器使用ZSK 对的私钥对区域中的每个 RRset 进行签名。（RRset 是一组具有相同所有者、类别和类型的资源记录。）它将 ZSK 对的公钥存储在 DNSKEY 记录中。
然後名称服务器使用KSK 对的私钥对所有 DNSKEY 记录进行签名，包括它自己的记录，并将相应的公钥存储在另一个 DNSKEY 记录中。
因此，一个区域通常有两个 DNSKEY 记录；保存 ZSK 对公钥的 DNSKEY 记录，以及 KSK 对公钥的另一个 DNSKEY 记录。
资料来源：InfoBlox

R RSIG（资源记录签名）
一个签名区域有多个 RRset，每个记录类型和所有者名称一个。（所有者是RRset 的域名。）当权威名称服务器使用ZSK 对的私钥对区域中的每个RRset 进行签名时，每个RRset 上的数字签名都存储在RRSIG 记录中。因此，签名区域包含每个 RRset 的 RRSIG 记录。
资料来源：InfoBlox

参考
. DNSSEC – 回顾
. DNSSEC – 它是什麽以及为什麽重要？
. 域名系统安全扩展
. DNSSEC 的工作原理
. DNSSEC：它的工作原理和主要考虑因素
. RFC 4033：DNS 安全介绍和要求
. RFC 4034：DNS 安全扩展的资源记录
. RFC 4035：DNS 安全扩展的协议修改
. 基於 HTTPS 的 DNS
. 如何配置 DoT/DoH
. DNSKEY 资源记录