[研究]GSN「DNSSEC驗證」

[研究]GSN「DNSSEC驗證」

2025-03-07

 請說明 GSN「DNSSEC驗證」

ChatGPT 說：

DNSSEC（網域名稱系統安全擴充）是一套安全協議，透過對 DNS 資料進行數位簽章，確保資料在傳輸過程中未被篡改或偽造，從而提升網域名稱系統的安全性。 

什麼是 DNSSEC？
https://tw.godaddy.com/help/what-is-dnssec-6135?utm_source=chatgpt.com

GSN（政府網際服務網）已啟用 DNSSEC 驗證功能，以加強政府網域名稱系統的安全性。 若您的域名已完成 DNSSEC 簽署並檢查正常，您可將 DS 資料提交至 GSN 的「DNS 指定與異動」平台（網址：http://rs.gsn.gov.tw）。 在該平台中，點選左側選單的「DNS 指定與異動」，並依照相關指引完成 DS 資料的提交。 

註：有問題，目前實際測試連不上

此外，GSN 提供了使用 BIND 進行 DNSSEC 簽署的教學文件，詳細說明如何利用 BIND 的指令完成域名簽署。 此簽署方式適用於所有版本的 BIND，建議對 DNSSEC 與 DNS 運作原理有一定了解的使用者參考。 
https://gsn.nat.gov.tw/GSNDW/GetFile?fileName=1815709f98200000271a.pdf&type=2&utm_source=chatgpt.com

透過啟用 DNSSEC 驗證，GSN 能有效防止 DNS 資料在傳輸過程中被篡改或偽造，提升政府網域名稱系統的整體安全性，確保使用者獲得正確且可信的 DNS 資訊。

********************************************************************************

如何檢測某網址是否使用  DNSSEC ?

ChatGPT 說：

要檢測某個網址是否使用 DNSSEC，可以使用以下方法：

方法 1：使用線上工具檢測

許多線上工具可以幫助檢測某個網址是否啟用了 DNSSEC，例如：

DNSViz（https://dnsviz.net/）

Verisign DNSSEC Debugger（https://dnssec-debugger.verisignlabs.com/）

Google Public DNS（https://dns.google/）

(下圖) 用 www.hinet.net 測試，似乎通過

********************************************************************************

(下圖) 用 ncc.gov.tw 測試，似乎不通過

********************************************************************************

(下圖) 用 www.hinet.net 測試，似乎通過，但上層 hinet.net 或 cdn.hinet.net 沒通過

********************************************************************************

(下圖) 用 ncc.gov.tw 測試，似乎不通過

********************************************************************************

********************************************************************************

(下圖) 用 www.hinet.net 測試，似乎沒看到 DS 紀錄

方法 2：使用 nslookup（Windows）

開啟 命令提示字元（cmd）

輸入以下指令檢查 DNSSEC 記錄：

nslookup -type=ds example.com

若有返回 DS 記錄，表示該網址已啟用 DNSSEC。

C:\>nslookup -type=ds www.hinet.net unknown query type: ds 伺服器: dns.hinet.net Address: 168.95.1.1 未經授權的回答: 名稱: hinet-hp.cdn.hinet.net Addresses: 2001:b000:580::4 2001:b000:580::9 2001:b000:580::12 2001:b000:580::14 2001:b000:580::7 2001:b000:580::6 2001:b000:580::5 2001:b000:580::8 203.66.32.99 203.66.32.141 203.66.32.43 203.66.32.140 203.66.32.196 203.66.32.46 203.66.32.9 203.66.32.167 Aliases: www.hinet.net C:\>

方法 3：使用 dig（Linux/macOS）

開啟 終端機（Terminal）

執行以下指令檢查 DNSSEC 設定：

dig +dnssec example.com

若結果中包含 AD（Authenticated Data）標誌，表示該域名啟用了 DNSSEC 且通過驗證。

也可使用以下指令檢查 DS 記錄：

dig example.com DS +short

若 DS 記錄存在，則表示該網域已啟用 DNSSEC。

方法 4：使用 PowerShell（Windows）

如果你使用 Windows，也可以使用 PowerShell 來檢測 DNSSEC：

Resolve-DnsName -Name example.com -Type DS

如果有返回 DS 記錄，則表示該域名已啟用 DNSSEC。

Windows PowerShell 著作權 (C) Microsoft Corporation. 著作權所有，並保留一切權利。 PS C:\Users\Administrator> Resolve-DnsName -Name www.hinet.net -Type DS Name Type TTL Section NameHost ---- ---- --- ------- -------- www.hinet.net CNAME 275 Answer hinet-hp.cdn.hinet.net Name : cdn.hinet.net QueryType : SOA TTL : 30 Section : Authority NameAdministrator : admin SerialNumber : 2018010101 TimeToZoneRefresh : 3600 TimeToZoneFailureRetry : 3600 TimeToExpiration : 3600 DefaultTTL : 30 PS C:\Users\Administrator>

結論

若某網址的 DS（Delegation Signer） 記錄存在，且通過驗證（如 AD 標誌），則表示該網域已啟用 DNSSEC。建議使用 DNSViz 或 Verisign DNSSEC Debugger 來獲得更詳細的資訊和圖示化報告。

********************************************************************************

好像結果有點不一致？建議使用時多參考看看。

(完)

相關

Verisign DNSSEC Debugger ( DNSSEC 網域 或 網址所屬網域 的驗證)
https://dnssec-debugger.verisignlabs.com/

DNSSEC簽署步驟如網址
https://gsn.nat.gov.tw/GSNArticle/Contents?articleId=134