DNSSEC正在慢慢出笼，但这对用户意味着什么？我们现有的设备是否使用它？目前还没有具体的相关信息公布，不过本文试图解决你的一些疑惑。

　　互联网离不开DNS。虽然DNS可能不会崩溃，但它显式的信任机制很明显是一个糟糕的注意。一些心怀鬼胎的人已经找到了一种称为“DNS 劫持”的方法，可利用这种信任对用户造成损害。如果你觉得这种说法很难理解，那下面这个例子会让你明白。

　　你需要向多个账号转账，点击银行书签，接着在浏览器中就会打开这个银行网站。你正常地登录，但是网站的反应有些不正常。这时，你应该做什么呢？

　　现在，提出一个值得认真对待的问题：“你怎么知道那个网站真的就是你想要的银行网站呢？”

　　目前，还没有百分百的确认方式，那些坏蛋喜欢的就是这一点。他们可以修改DNS信息，将浏览器中网页指向一个恶意网站，这个网站看起来和你想要访问的网站一模一样。还不明白吗？我们会登录，输入用户名和密码。结果：坏人通过欺骗的手段获得了我们的信任。

　　DNSSEC

　　IETF（互联网工程任务组）从1997年已开始寻找方法， 来防止上述“错误指向”的发生。他们提出的解决方案就是DNSSEC（Domain Name System Security Extensions，既域名系统安全扩展）。看起来，这是一个不错的想法，至少根据介绍该系统的白皮书是如此。

　　不过，对用户以及我们的家庭/办公室网络，DNSSEC有什么意义？对此并没有太多的信息。经过一番搜索研究，我总结了以下几点你应该了解的信息：

　　1. 路由器必须能够处理什么样的信息

　　路由器必须能够处理大于正常大小的DNS包。原因在于新的授权规定，DNS当前所用的是512字节的UDP包，DNSSEC响应的大小大于512字节。这会带来一些问题。某些路由器的程序设定会拒绝大于512字节的DNS包。

　　另外，路由器还必须能够处理已转换为TCP/IP的DNSSEC查询。如果较大的UDP包存在问题，DNS服务器可按照指令使用TCP/IP发送DNSSEC响应。如果路由器无法提供这种功能，DNS查询将会失败。

　　最后，路由器必须能够正确地处理DNSKEY、RRSIG、NSEC和NSEC3。DNSSEC流量验证需要这些新的 DNS来源记录。边界路由器必须能够处理这些记录，否则信任链条将会断掉。

　　2. 确认路由器是否兼容DNSSEC

　　有关这个问题，我在较新的资料中没有找到答案。不过，在2008年的一份报告，找到了一些有用的信息。这份报告的名字是：《DNSSEC对宽带路由器和防火墙的影响》（DNSSEC Impact on Broadband Routers and Firewalls）。这份报告的研究团队做了一些细致的研究，对24款个人和公司所用的路由器进行了测试。你可以在这份报告中查看自己的路由器的是否兼容。如果没有找到有关信息，你可以咨询路由器的制造商。

　　3. 其他一些DNS安全测试

　　以下两个测试与DNSSEC没有直接关联，不过，在上文那份白皮书的结果中，提供了这两项测试：

　　拒绝非初始DNS查询

　　随机分配DNS查询端口

　　这两项测试都非常重要，可消除两种入侵风险。通常，这些信息是不提供的，建议你打电话向路由器制造商咨询。

　　4. 固件升级

　　升级网关设备上固件永远都没有错，而且现在比以往更为重要。如果你的路由器无法通过2008年的DNSSEC测试，试着将固件升级为最新版本，很可能可以解决问题。

　　5. 上游互联网提供商是否做好准备

　　这个问题也许并不是什么问题，不过，问问总不会有什么损失。我会询问的两个问题：

　　如何保护DNSSEC验证密钥？

　　如果无法正常运行，应该和谁联系？

　　Firefox用户提示

　　DNSSEC Validator是一款Mozilla浏览器扩展，可检查 DNSSEC 是否存在以及相关验证。地址栏中不同颜色的关键字表示DNNSEC下某个特定域名的状态。

　　最后的一点想法

　　DNSSEC具有一种潜力，能够极大地增加网络的安全性，但是前提是必须对其进行正确的部署。这意味着我们的路由器必须成为信任链条的一部分。最后，我还要提供一点想法：如果路由器无法正确地处理DNSSEC包，用户的在线体验将会显著的下降。