Defaults.Exposed

Defaults.Exposed › 报告

什么是 DNSSEC——你真的需要它吗?(2026)

发布于 2026-07-01

数据截至 2026-06-29 · 方法论 v7。 覆盖 261 百万个已评级域名的汇总普查数据。DNSSEC 为 DNS 添加加密签名,使解析器能够证明某个应答确实来自你,且未被篡改。参见我们如何评级

DNSSEC 会为你域名的每个 DNS 应答盖上签名,这样攻击者就无法悄悄换入一个伪造的应答,把你的访客引向别处。 它是网络上采用率最低的安全控制之一:在 261 百万个域名中,仅有 1.99% 拥有有效的签名信任链。它也是少数几个错误配置比不配置更糟的控制之一——3.02% 的域名已签名但已损坏,这可能导致它们无法访问。下面讲讲它的作用,以及你是否需要它。

DNSSEC 究竟防范什么

普通 DNS 无法证明某个应答是否真实。这就为缓存投毒路径上的 DNS 欺骗打开了大门——攻击者向解析器喂入一条伪造的记录,把你的访客或邮件引向他们的服务器,而且没有任何证书警告来暴露这一点。DNSSEC 通过为记录签名来堵住这个缺口,使执行验证的解析器拒绝任何无法通过验证的内容。

做的事:它不加密 DNS,不保护网站本身,也不能替代 HTTPSDMARCCAA。它只是其中一层——为 DNS 应答提供完整性保护。

采用情况

按域名后缀来看,有效的 DNSSEC 差异很大:.se 为 18.38%,.nl 为 11.86%,.cz 为 14.62%——而 .com 仅为 1.62%。

你需要它吗?

如何安全地开启它

  1. 使用能自动处理 DNSSEC 的 DNS 托管商——签名和密钥轮换都由它替你处理(如今大多数主流服务商都能一键完成)。参见修复 DNSSEC
  2. 启用签名,然后在你的注册商处发布 DS 记录,以完成信任链。
  3. 在你放手之前,验证信任链能否解析——一个已签名但已损坏的域名比未签名的域名更糟。
  4. 切勿手动管理密钥,除非你拥有能够可靠轮换密钥的工具。

常见问题

用最简单的话说,DNSSEC 是什么? 它是一组加在你 DNS 记录上的数字签名,使解析器能够证明应答是真实的,且未在传输途中被伪造。

我真的需要 DNSSEC 吗? 它对高目标域名以及合规有要求的场景最有价值。对其他所有人来说,如果你的 DNS 托管商能自动处理它,那它是一项不错的加固措施——主要风险是配置错误,目前有 3.02% 的域名存在这种情况。

DNSSEC 会加密我的 DNS 吗? 不会。它证明完整性(应答是真实的),但不会隐藏查询内容。那是另一种技术(DoH/DoT)。

DNSSEC 会不会让我的网站崩溃? 一个损坏或过期的签名,会让你的域名对任何使用验证型解析器的人无法解析。这正是自动化签名和密钥轮换很重要的原因。

DNSSEC 免费吗? 在大多数现代 DNS 托管商上是免费的——它是一项设置,而不是一笔购买。

免费检测你域名的 DNSSEC

查看你的域名是否已签名、是否有效、信任链是否正确——私密进行,且仅限所有者。

检测你的域名 → · 修复 DNSSEC → · 强制 DNSSEC 是否有效? → · 我们如何评级 → · 仅使用汇总数据。数据在欧盟境内存储和处理。