『社交通』系統目前暫不支持DNSSEC,主要原因在於:

1. DNSSEC無法保證私密性

DNSSEC並沒有改變DNS基於UDP的通訊方式,數據流也都是明文傳輸,它所作的只是加上了一個數字簽名,而中間人依然可以看到用戶請求了什麼、結果是什麼。

2. DNS挾持發生時,DNSSEC簽名無法告知用戶真正的解析結果

當用戶的DNS被挾持時,用戶通過檢查DNSSEC簽名,可以獲知自己得到的並不是真正的解析結果,而是得到了一個被偽造的地址。但是,用戶並不能知道真正的解析結果是什麼。

3. 支持DNSSEC的遞歸伺服器並不多,DNSSEC的普及率也不高

就目前的情況而言,中國內地只有CNNIC的4.2.2.4伺服器支持DNSSEC,其他的遞歸伺服器,例如:114.114.114.114以及223.5.5.5等都不支持。


綜上所述,DNSSEC並不能完好地保證DNS解析的安全性;同時,由於目前大部分運營商的伺服器亦不支持DNSSEC,開啟此服務會影響『社交通』系統的其他客戶,所以我方暫時不支持DNSSEC。

您是否找到答案了?