Defaults.Exposed › 报告
什么是 DNSSEC——你真的需要它吗?(2026)
发布于 2026-07-01
数据截至 2026-06-29 · 方法论 v7。 覆盖 261 百万个已评级域名的汇总普查数据。DNSSEC 为 DNS 添加加密签名,使解析器能够证明某个应答确实来自你,且未被篡改。参见我们如何评级。
DNSSEC 会为你域名的每个 DNS 应答盖上签名,这样攻击者就无法悄悄换入一个伪造的应答,把你的访客引向别处。 它是网络上采用率最低的安全控制之一:在 261 百万个域名中,仅有 1.99% 拥有有效的签名信任链。它也是少数几个错误配置比不配置更糟的控制之一——3.02% 的域名已签名但已损坏,这可能导致它们无法访问。下面讲讲它的作用,以及你是否需要它。
DNSSEC 究竟防范什么
普通 DNS 无法证明某个应答是否真实。这就为缓存投毒和路径上的 DNS 欺骗打开了大门——攻击者向解析器喂入一条伪造的记录,把你的访客或邮件引向他们的服务器,而且没有任何证书警告来暴露这一点。DNSSEC 通过为记录签名来堵住这个缺口,使执行验证的解析器拒绝任何无法通过验证的内容。
它不做的事:它不加密 DNS,不保护网站本身,也不能替代 HTTPS、DMARC 或 CAA。它只是其中一层——为 DNS 应答提供完整性保护。
采用情况
- 1.99% 已签名且有效。
- 3.02% 已签名但已损坏——签名无法通过验证,这会导致域名对任何使用验证型解析器的人失效。正是这一风险让人们心存顾虑。
- 在注册局积极推广的地方,采用率要高得多:由注册局驱动的国家/地区顶级域达到 9.1% 有效,而其他国家/地区顶级域仅为 1.3%。采用与否是一个政策杠杆,而非技术限制。参见强制 DNSSEC 是否有效以及 DNSSEC 悖论。
按域名后缀来看,有效的 DNSSEC 差异很大:.se 为 18.38%,.nl 为 11.86%,.cz 为 14.62%——而 .com 仅为 1.62%。
你需要它吗?
- 价值更高或更易成为攻击目标的域名——银行、政府、基础设施,以及任何重定向用户或邮件会带来重大利益的场景——受益最大。
- 受合规驱动的组织——DNSSEC 越来越多地出现在安全问卷和某些行业规定中。
- 其他所有人——如果你的 DNS 托管商能一键开启并为你管理密钥轮换,那么它是一项合理的加固措施。如果启用它意味着要手动管理你可能弄错的密钥,那么签名损坏的风险是真实存在的——请在有自动化的地方启用它。
如何安全地开启它
- 使用能自动处理 DNSSEC 的 DNS 托管商——签名和密钥轮换都由它替你处理(如今大多数主流服务商都能一键完成)。参见修复 DNSSEC。
- 启用签名,然后在你的注册商处发布 DS 记录,以完成信任链。
- 在你放手之前,验证信任链能否解析——一个已签名但已损坏的域名比未签名的域名更糟。
- 切勿手动管理密钥,除非你拥有能够可靠轮换密钥的工具。
常见问题
用最简单的话说,DNSSEC 是什么? 它是一组加在你 DNS 记录上的数字签名,使解析器能够证明应答是真实的,且未在传输途中被伪造。
我真的需要 DNSSEC 吗? 它对高目标域名以及合规有要求的场景最有价值。对其他所有人来说,如果你的 DNS 托管商能自动处理它,那它是一项不错的加固措施——主要风险是配置错误,目前有 3.02% 的域名存在这种情况。
DNSSEC 会加密我的 DNS 吗? 不会。它证明完整性(应答是真实的),但不会隐藏查询内容。那是另一种技术(DoH/DoT)。
DNSSEC 会不会让我的网站崩溃? 一个损坏或过期的签名,会让你的域名对任何使用验证型解析器的人无法解析。这正是自动化签名和密钥轮换很重要的原因。
DNSSEC 免费吗? 在大多数现代 DNS 托管商上是免费的——它是一项设置,而不是一笔购买。
免费检测你域名的 DNSSEC
查看你的域名是否已签名、是否有效、信任链是否正确——私密进行,且仅限所有者。
检测你的域名 → · 修复 DNSSEC → · 强制 DNSSEC 是否有效? → · 我们如何评级 → · 仅使用汇总数据。数据在欧盟境内存储和处理。