憑證頒發機構即日起強制執行 DNSSEC 驗證
從今天開始,所有憑證頒發機構在核發憑證時都必須驗證 DNSSEC,以確保網域所有權和授權紀錄未被竄改。這項變動使得 DNSSEC 成為已啟用該功能之網域在憑證核發過程中不可或缺的強制性環節。
背景
自 2024 年起,憑證頒發機構(CA)在進行網域控制驗證(DCV)或檢查授權憑證發布(CAA)紀錄時,若該網域已啟用 DNSSEC,CA 必須強制進行驗證。這項轉變意味著 DNSSEC 從過往的可選檢查轉變為技術規範中的強制要求,旨在確保 CA 在簽發憑證過程中獲取的 DNS 資訊未遭篡改。
社群觀點
在 Hacker News 的討論中,社群對於 DNSSEC 的實用價值與未來前景展現出極大的分歧。以資安專家 tptacek 為首的反對派認為,DNSSEC 是一項瀕臨死亡的技術。他指出在全球前一千大網站中,啟用 DNSSEC 的比例僅為個位數,且呈現下降趨勢,甚至連 Canva 等知名企業也曾一度關閉此功能。反對者認為 DNSSEC 的複雜性極高,一旦設定錯誤,會導致整個網域從網際網路上消失,這種「自殘」的風險遠大於其防禦罕見攻擊所帶來的收益。此外,由於 DNSSEC 依賴特定的密鑰管理架構,在某些情境下甚至被視為一種國家級的監控後門。
然而,支持派則認為 DNSSEC 是建構網際網路信任根基的必要工具。支持者批評反對意見多半源於系統管理員的怠惰或對基礎設施變動的恐懼。他們主張,若要真正解決「如何信任 DNS 回應」的問題,DNSSEC 是目前唯一的標準化方案。支持者強調,雖然設定過程可能存在風險,但這不應成為拒絕提升安全性的理由,正如 HTTPS 的普及也經歷過陣痛期。他們認為,將 DNS 轉化為具備加密驗證能力的分布式資料庫,能為上層的所有通訊協定提供更穩固的安全保障。
討論中也觸及了實務操作的困境。部分開發者指出,在 AWS 等大型雲端平台上啟用 DNSSEC 並非易事,特別是當網域註冊商與 DNS 代管商不同時,自動化的密鑰輪替會變得極其複雜。這導致許多中小規模的網站主對此望而卻步。儘管如此,社群中仍有一種中立的共識:無論是否喜歡 DNSSEC,要求 CA 在驗證過程中尊重並檢查已存在的 DNSSEC 簽章是合理的做法。這項新規定對 CA 而言實作成本極低,且能為那些已經投入資源建置 DNSSEC 的用戶提供應有的安全防護,防止攻擊者透過操縱 DNS 紀錄來騙取憑證。
延伸閱讀
- Tranco List 監測工具(dnssecmenot.fly.dev):追蹤全球熱門網域啟用 DNSSEC 的實時狀態。
- DNSSEC 故障紀錄清單(ianix.com):收錄歷年來因 DNSSEC 設定失誤導致的大規模網路中斷事件。
- 對立觀點部落格:討論中多次提及針對 DNSSEC 安全性的正反辯論,包含 sockpuppet.org 的反對立場與 easydns.com 的支持論點。