Defaults.Exposed › 報告
什麼是 DNSSEC——你真的需要它嗎?(2026)
發布於 2026-07-01
數據截至 2026-06-29 · 方法論 v7。 覆蓋 261 百萬個已評級域名的彙總普查數據。DNSSEC 為 DNS 添加加密簽名,使解析器能夠證明某個應答確實來自你,且未被篡改。參見我們如何評級。
DNSSEC 會為你域名的每個 DNS 應答蓋上簽名,這樣攻擊者就無法悄悄換入一個偽造的應答,把你的訪客引向別處。 它是網路上採用率最低的安全控制之一:在 261 百萬個域名中,僅有 1.99% 擁有有效的簽名信任鏈。它也是少數幾個錯誤配置比不配置更糟的控制之一——3.02% 的域名已簽名但已損壞,這可能導致它們無法訪問。下面講講它的作用,以及你是否需要它。
DNSSEC 究竟防範什麼
普通 DNS 無法證明某個應答是否真實。這就為緩存投毒和路徑上的 DNS 欺騙打開了大門——攻擊者向解析器餵入一條偽造的記錄,把你的訪客或郵件引向他們的服務器,而且沒有任何證書警告來暴露這一點。DNSSEC 通過為記錄簽名來堵住這個缺口,使執行驗證的解析器拒絕任何無法通過驗證的內容。
它不做的事:它不加密 DNS,不保護網站本身,也不能替代 HTTPS、DMARC 或 CAA。它只是其中一層——為 DNS 應答提供完整性保護。
採用情況
- 1.99% 已簽名且有效。
- 3.02% 已簽名但已損壞——簽名無法通過驗證,這會導致域名對任何使用驗證型解析器的人失效。正是這一風險讓人們心存顧慮。
- 在註冊局積極推廣的地方,採用率要高得多:由註冊局驅動的國家/地區頂級域達到 9.1% 有效,而其他國家/地區頂級域僅為 1.3%。採用與否是一個政策槓桿,而非技術限制。參見強制 DNSSEC 是否有效以及 DNSSEC 悖論。
按域名後綴來看,有效的 DNSSEC 差異很大:.se 為 18.38%,.nl 為 11.86%,.cz 為 14.62%——而 .com 僅為 1.62%。
你需要它嗎?
- 價值更高或更易成為攻擊目標的域名——銀行、政府、基礎設施,以及任何重定向用戶或郵件會帶來重大利益的場景——受益最大。
- 受合規驅動的組織——DNSSEC 越來越多地出現在安全問卷和某些行業規定中。
- 其他所有人——如果你的 DNS 託管商能一鍵開啟並為你管理密鑰輪換,那麼它是一項合理的加固措施。如果啟用它意味著要手動管理你可能弄錯的密鑰,那麼簽名損壞的風險是真實存在的——請在有自動化的地方啟用它。
如何安全地開啟它
- 使用能自動處理 DNSSEC 的 DNS 託管商——簽名和密鑰輪換都由它替你處理(如今大多數主流服務商都能一鍵完成)。參見修復 DNSSEC。
- 啟用簽名,然後在你的註冊商處發佈 DS 記錄,以完成信任鏈。
- 在你放手之前,驗證信任鏈能否解析——一個已簽名但已損壞的域名比未簽名的域名更糟。
- 切勿手動管理密鑰,除非你擁有能夠可靠輪換密鑰的工具。
常見問題
用最簡單的話說,DNSSEC 是什麼? 它是一組加在你 DNS 記錄上的數字簽名,使解析器能夠證明應答是真實的,且未在傳輸途中被偽造。
我真的需要 DNSSEC 嗎? 它對高目標域名以及合規有要求的場景最有價值。對其他所有人來說,如果你的 DNS 託管商能自動處理它,那它是一項不錯的加固措施——主要風險是配置錯誤,目前有 3.02% 的域名存在這種情況。
DNSSEC 會加密我的 DNS 嗎? 不會。它證明完整性(應答是真實的),但不會隱藏查詢內容。那是另一種技術(DoH/DoT)。
DNSSEC 會不會讓我的網站崩潰? 一個損壞或過期的簽名,會讓你的域名對任何使用驗證型解析器的人無法解析。這正是自動化簽名和密鑰輪換很重要的原因。
DNSSEC 免費嗎? 在大多數現代 DNS 託管商上是免費的——它是一項設置,而不是一筆購買。
免費檢測你域名的 DNSSEC
查看你的域名是否已簽名、是否有效、信任鏈是否正確——私密進行,且僅限所有者。
檢測你的域名 → · 修復 DNSSEC → · 強制 DNSSEC 是否有效? → · 我們如何評級 → · 僅使用彙總數據。數據在歐盟境內存儲和處理。