假设我有自己的服务器,我想告诉 DNS 服务器我托管了哪些网站。但他们怎么会信任我呢?唯一知道我真实 IP 的人是我的 ISP。所以 DNS 服务器应该信任 ISP,仅此而已?那么电子邮件呢?
答案1
DNS 是一个分层系统,其中从单个根分支出所有子域以及它们的子子域等等。
每个域的 DNS 通常由其自己的 DNS 服务器管理。在这种情况下,DNS 父域已完成所谓的“域委派”,即授予组织对其自己的域或子域的完全权限。然后,该组织的 DNS 服务器将成为该域的权威名称服务器。
域名委派意味着完全信任——父母不实施审查,孩子有充分的权力来搞乱事情,仍然仅限于在自己的域名上将名称映射到 IP 地址。
这是一种非常不安全的局面,导致该系统可能被滥用,有时是被极权政权滥用,有时是被骗子滥用。
解决方案是 域名系统安全扩展 (DNSSEC)。
来自 cloudflare DNSSEC 简介:
DNSSEC 通过向现有 DNS 记录添加加密签名来创建安全的域名系统。这些数字签名与 A、AAAA、MX、CNAME 等常见记录类型一起存储在 DNS 名称服务器中。通过检查其相关签名,您可以验证所请求的 DNS 记录是否来自其权威名称服务器,并且未在途中被更改,而不是在中间人攻击中注入的虚假记录。
目前大多数高级 DNS 服务器均受到 DNSSEC 的保护。
答案2
DNS 并不关心它是否是“你的真实 IP”。你可以将域名指向任何地址,没有人会阻止你。
一般来说,域名查找是按照“域名⇒地址”的方向进行的,而不是相反,所以重要的是域名属于您。当您通过注册商(与管理每个 TLD 的注册机构签订了合同)“购买”域名时,其所有权将得到管理 - 然后,您可以使用注册商网站上的帐户指定(子)域名 IP 地址,或将整个域名指向您自己的 DNS 服务器。
电子邮件和网络的工作方式相同 - 无论有人向您的域发送邮件,还是访问您域上的网站,它仍然由域所有者管理(只是使用不同的 DNS 记录类型)。
(TLS 证书也仅将域名与您的服务器绑定,而不是 IP 地址 - 因此颁发 CA 会要求您通过添加特殊的 DNS 记录来证明域名所有权。)