跳转至主要内容

虽然可以在软件中实施 DNSSEC,但攻击者可以获得签名密钥的访问权限,并危及 DNS 查询过程

域名系统 (DNS) 实际上是互联网的通讯簿;它使网站名称能够与其对应的注册 IP 地址进行匹配。 但是,非法更改 Web 查询可能会将最终用户或服务指向恶意 IP 地址,并将其路由到非法服务器以进行数据窃取。 域名系统安全扩展 (DNSSEC) 是为了应对此威胁而创建的。 DNSSEC 是一种涉及使用数字签名的机制,使服务器能够验证并核实 DNS 对查询的响应的完整性。

DNSSEC 图解

  • 单击选择...

挑战

与 DNSSEC 相关的风险

  • 获得 DNS 流程访问权限的攻击者可以引诱客户访问冒充成您的网站的网站,从而欺骗他们提供私人信息。
  • 虽然可以在软件中实施 DNSSEC,但攻击者可以获得签名密钥的访问权限,并危及 DNS 查询过程。

解决方案

DNSSEC: Entrust nShield HSM 解决方案

Products and services from Entrust can help you deploy a high-assurance DNSSEC process that protects your business and your customers’ information while at the same time delivering the performance your business requires. nShield hardware security modules (HSMs) enable top level domains (TLDs), registrars, registries and enterprises to secure critically important signing processes used to validate the integrity of DNSSEC responses across the Internet, and protect the DNS from what are commonly referred to as “cache poisoning” and “man-in-the-middle” attacks. Entrust solutions provide proven and auditable security advantages, enabling proper generation and storage for signing keys to assure the integrity of the DNSSEC validation process.

优势

Entrust nShield HSM 提供的优势

  • 使用独立认证的 HSM(FIPS 140-2 3 级和通用标准 EAL4+)确保 DNSSEC 验证流程的完整性。
  • 维护强大的防篡改硬件边界和可靠、可审计的机制,即使在存档时也能保护重要的签名密钥。
  • 通过强大的访问控制实施职责分离,以减轻单个“超级用户”的威胁并促进监管合规性。
  • 通过无限制的密钥存储、安全备份和恢复以及强大的加密加速,实现高可用性和改进的 DNS 服务器性能。

资源中心

解决方案简介: 确保 DNSSEC 部署的签名密钥的安全

Entrust nShield HSM 使顶级域、注册商、注册机构和企业能够保护极其重要的签名密钥,这些签名密钥用于验证整个互联网上 DNSSEC 响应的完整性,并保护 DNS 免受缓存中毒和中间人攻击。 下载解决方案简介,了解更多详细信息。