有些人想知道 DNSSEC 如何影响全球审查,我想知道 DNSSEC 是否可以保护区域免受部分由祖父区域修改。(这个问题的重点不是暗示 ICANN 或其成员不值得信任,而是要弄清楚 DNSSEC 如何影响他们在理论上可以行使的权力。)
例如:
- ICANN 拥有根区域
- .de 区域委托给德国 DENIC。
- 假设 example.de 被委托给某个第三方。
现在,假设 DENIC 不会从其区域中删除 example.de,他们是否可以通过从 .de 服务器返回 abc.example.de 的签名记录将子域 abc.example.de 重定向到其他地方?
类似地,DNS 根是否可以轻松返回三级域 xy.z 的签名虚假记录,而二级区域 z 不参与此操作且不受影响?
答案1
你的父母总是有能力扰乱你的心境。不幸的是,你需要信任他们。
从技术上讲,.de 将签署一个 DS 记录,该记录是用于签署 example.de 的 DNSKEY 的哈希值。如果 .de 正在执行正确的事并指向正确的 example.de 密钥,那么他们就无法篡改数据。问题是 .de 还可以指向他们自己伪造的密钥和他们自己的 example.de 名称服务器,从而“接管”它。他们甚至可以查询您自己的 example.de 服务器以镜像除他们想要更改的数据之外的所有数据。
所以...是的,.de 可以接管 example.de,而且对此没有什么可做的除非您已经说服客户使用 example.de 的 DNSKEY 本身作为信任锚。我怀疑一些企业环境可能会这样做(信任他们的公司密钥,因此他们不会有要求上游稳定)。但一般没人会这么做,因为维护一堆信任锚是不可扩展的。
至于你的祖父母(在你的例子中是根),为了能够骚扰孙子,他们必须接管父母并为他们发布新密钥。因此,根同样强大,可以接管其下的所有事物,但他们必须通过接管所有孩子而不仅仅是孙子或孙孙来做到这一点。