APNIC文摘—DNSSEC validation revisited(上)

本APNIC文摘原標題為DNSSEC validation revisited,由APNIC首席科學家Geoff Huston撰文。

DNSSEC是一種用來加強DNS安全的技術。當使用者想要前往特定網站,他使用的裝置內建伺服器會送出DNS查詢;這個伺服器得到DNS回傳的答案後,就可以將使用者帶往目的地。當然,這是以最基本、最略的方式理解DNS運作原理;而DNSSEC的任務,就是確保DNS回傳的回應沒有被中途變造。

APNIC首席科學家Geoff Huston回顧近年的DNSSEC全球建置趨勢,發現2019年雖穩定成長,但2017年至2018年間卻有一個明顯的低谷(如下圖)。在試圖解釋這些現象之前,他先說明他是如何量測並取得這些資料,以及量測期間的其他發現。

Huston使用的量測方法,是透過網路廣告內嵌的HTML5代碼取得使用者瀏覽器的一系列URL,再利用3種不同類型的URL檢測使用者是否啟用DNSSEC。

量測結果發現,約九成使用者端的伺服器都預設要求對方回傳時附上數位簽署紀錄,但是卻沒有「檢驗此簽名是否為真」的後續流程。換句話說,大部分的遞迴伺服器(recursive server)都只啟用了一半的DNSSEC功能。

至於為何2017年至2018年間DNSSEC安裝比例下滑,到2019年才又開始止跌回升?Huston推測主因是原訂於2017年進行,後延至隔年10月實施的金鑰簽署金鑰換(KSK Rollover)。為了避免KSK Rollover後,DNSSEC的簽署金鑰未同步更新而造成路由解析問題,許多網路服務業者選擇在這期間直接停用DNSSEC。

這個現象也讓我們不得不思考一個問題:如果網路服務業者可以為了怕麻煩而停用DNSSEC一年以上,是否代表DNSSEC本來就是個可有可無的安全功能?

為了回答這個問題,下篇Huston會列舉DNSSEC的優缺點,助讀者理解業界對DNSSEC的正反看法。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DNSSEC validation revisited

Scroll to Top