n 級的 DNSSEC 可以操縱 n+2 級的區域嗎?
有些人想知道 DNSSEC 如何影響全球審查,我想知道 DNSSEC 是否可以保護區域不被祖父區域部分修改。(這個問題的重點不是暗示 ICANN 或其成員不受信任,而是要弄清楚 DNSSEC 如何影響他們在理論上可以行使的權力。)
例如:
- ICANN 擁有根區
- .de 區域委託給德國 DENIC。
- 假設 example.de 被委託給某個第 3 方。
現在,假設 DENIC 沒有從他們的區域中刪除 example.de,他們是否可以通過從 .de 伺服器返回 abc.example.de 的簽名記錄來將子域 abc.example.de 重定向到其他地方?
同樣,DNS 根是否有可能輕鬆返回三級域 xy.z 的簽名虛假記錄,而二級區域 z 不參與此操作並且不受影響?
你的父母總是有能力擾亂你的區域。不幸的是,您需要信任他們。
從技術上講,.de 將簽署 DS 記錄,該記錄是用於簽署 example.de 的 DNSKEY 的散列。如果 .de 正在做正確的事情並指向正確的 example.de 鍵,那麼不,它們不會弄亂數據。問題是 .de 還可以指向他們自己製造的密鑰和他們自己的名稱伺服器,例如 example.de 並因此“接管”。他們甚至可以查詢您自己的 example.de 伺服器以鏡像除他們想要更改的數據之外的所有數據。
所以…是的,.de 可以接管 example.de,除非您說服客戶使用 example.de 的 DNSKEY 本身作為信任錨,否則沒有什麼可做的。我懷疑某些企業環境可能會這樣做(信任他們的公司密鑰,因此他們不必要求上游穩定)。但通常沒有人會這樣做,因為維護一堆信任錨是不可擴展的。
至於您的祖父母(在您的範例中為根),為了讓他們與孫子相處,他們必須接管父母並為他們發布新密鑰。所以根同樣強大,可以接管它下面的一切,但他們必須通過接管所有的孩子來做到這一點,而不僅僅是孫子或孫子。