Defaults.Exposed

Defaults.Exposed › 報告

什麼是 DNSSEC——你真的需要它嗎?(2026)

發布於 2026-07-01

數據截至 2026-06-29 · 方法論 v7。 覆蓋 261 百萬個已評級域名的彙總普查數據。DNSSEC 為 DNS 添加加密簽名,使解析器能夠證明某個應答確實來自你,且未被篡改。參見我們如何評級

DNSSEC 會為你域名的每個 DNS 應答蓋上簽名,這樣攻擊者就無法悄悄換入一個偽造的應答,把你的訪客引向別處。 它是網路上採用率最低的安全控制之一:在 261 百萬個域名中,僅有 1.99% 擁有有效的簽名信任鏈。它也是少數幾個錯誤配置比不配置更糟的控制之一——3.02% 的域名已簽名但已損壞,這可能導致它們無法訪問。下面講講它的作用,以及你是否需要它。

DNSSEC 究竟防範什麼

普通 DNS 無法證明某個應答是否真實。這就為緩存投毒路徑上的 DNS 欺騙打開了大門——攻擊者向解析器餵入一條偽造的記錄,把你的訪客或郵件引向他們的服務器,而且沒有任何證書警告來暴露這一點。DNSSEC 通過為記錄簽名來堵住這個缺口,使執行驗證的解析器拒絕任何無法通過驗證的內容。

做的事:它不加密 DNS,不保護網站本身,也不能替代 HTTPSDMARCCAA。它只是其中一層——為 DNS 應答提供完整性保護。

採用情況

按域名後綴來看,有效的 DNSSEC 差異很大:.se 為 18.38%,.nl 為 11.86%,.cz 為 14.62%——而 .com 僅為 1.62%。

你需要它嗎?

如何安全地開啟它

  1. 使用能自動處理 DNSSEC 的 DNS 託管商——簽名和密鑰輪換都由它替你處理(如今大多數主流服務商都能一鍵完成)。參見修復 DNSSEC
  2. 啟用簽名,然後在你的註冊商處發佈 DS 記錄,以完成信任鏈。
  3. 在你放手之前,驗證信任鏈能否解析——一個已簽名但已損壞的域名比未簽名的域名更糟。
  4. 切勿手動管理密鑰,除非你擁有能夠可靠輪換密鑰的工具。

常見問題

用最簡單的話說,DNSSEC 是什麼? 它是一組加在你 DNS 記錄上的數字簽名,使解析器能夠證明應答是真實的,且未在傳輸途中被偽造。

我真的需要 DNSSEC 嗎? 它對高目標域名以及合規有要求的場景最有價值。對其他所有人來說,如果你的 DNS 託管商能自動處理它,那它是一項不錯的加固措施——主要風險是配置錯誤,目前有 3.02% 的域名存在這種情況。

DNSSEC 會加密我的 DNS 嗎? 不會。它證明完整性(應答是真實的),但不會隱藏查詢內容。那是另一種技術(DoH/DoT)。

DNSSEC 會不會讓我的網站崩潰? 一個損壞或過期的簽名,會讓你的域名對任何使用驗證型解析器的人無法解析。這正是自動化簽名和密鑰輪換很重要的原因。

DNSSEC 免費嗎? 在大多數現代 DNS 託管商上是免費的——它是一項設置,而不是一筆購買。

免費檢測你域名的 DNSSEC

查看你的域名是否已簽名、是否有效、信任鏈是否正確——私密進行,且僅限所有者。

檢測你的域名 → · 修復 DNSSEC → · 強制 DNSSEC 是否有效? → · 我們如何評級 → · 僅使用彙總數據。數據在歐盟境內存儲和處理。