域名系统安全扩展（DNSSEC）是一种安全技术，它将帮助修补互联网的弱点之一。我们很幸运SOPA没有通过，因为SOPA会把DNSSEC定为非法。

DNSSEC为一个互联网根本没有安全保障的地方增加了关键的安全保障。域名系统（DNS）运行良好，但在这个过程中没有任何验证，这给攻击者留下了漏洞。

现状

我们已经解释了DNS在过去是如何工作的。简而言之，每当你连接到一个域名谷歌网站“或”tl80.cn网站，“您的计算机与其DNS服务器联系，并查找该域名的相关IP地址。然后，您的计算机连接到该IP地址。

重要的是，DNS查找中不涉及验证过程。您的计算机要求其DNS服务器提供与网站相关的地址，DNS服务器用IP地址响应，您的计算机说“好的！“很高兴能连接到那个网站。你的电脑不会停下来检查这是否是一个有效的响应。

攻击者有可能重定向这些DNS请求或设置恶意DNS服务器以返回错误响应。例如，如果您连接到公共Wi-Fi网络并尝试连接到tl80.cn网站，则该公共Wi-Fi网络上的恶意DNS服务器可能会返回完全不同的IP地址。IP地址可能会导致你到一个钓鱼网站。您的web浏览器没有真正的方法来检查IP地址是否与tl80.cn网站；它只需信任从DNS服务器接收到的响应。

HTTPS加密确实提供了一些验证。例如，假设您尝试连接到银行的网站，并且在地址栏中看到HTTPS和锁定图标。您知道证书颁发机构已验证该网站属于您的银行。

如果您从受损的接入点访问银行网站，并且DNS服务器返回冒名顶替者仿冒网站的地址，仿冒网站将无法显示HTTPS加密。然而，钓鱼网站可能会选择使用纯HTTP而不是HTTPS，打赌大多数用户不会注意到这一区别，无论如何都会输入他们的网上银行信息。

你的银行没有办法说“这些是我们网站的合法IP地址。”

dnssec将如何提供帮助

DNS查找实际上分几个阶段进行。例如，当您的计算机要求www.tl80.cn，您的计算机将分几个阶段执行此查找：

• 它首先询问“根区域目录”在哪里可以找到.com。
• 然后它会询问.com目录在哪里可以找到它tl80.cn网站.
• 然后它问tl80.cn网站在哪里可以找到www.tl80.cn。

DNSSEC涉及“对根进行签名”。当您的计算机询问根区域在哪里可以找到.com时，它将能够检查根区域的签名密钥，并确认它是具有真实信息的合法根区域。然后根区域将提供有关签名密钥或.com及其位置的信息，允许您的计算机联系.com目录并确保其合法性。.com目录将为提供签名密钥和信息tl80.cn网站，允许它接触tl80.cn网站并确认你与真实世界有联系tl80.cn网站上面的区域证实了这一点。

当DNSSEC全面推出时，您的计算机将能够确认DNS响应是合法的和真实的，而它目前无法知道哪些是假的，哪些是真的。

阅读有关加密工作原理的更多信息。

sopa会怎么做

那么，《制止网络盗版法》（更为人熟知的SOPA）是如何在这一切中发挥作用的呢？好吧，如果你遵循SOPA，你会发现它是由不懂互联网的人写的，所以它会以各种方式“破坏互联网”。这是其中之一。

请记住，DNSSEC允许域名所有者签署他们的DNS记录。比如说，thepiratebay.se网站可以使用DNSSEC指定与其关联的IP地址。当您的计算机执行DNS查找时-是否谷歌网站或者thepiratebay.se网站-DNSSEC将允许计算机确定它正在接收经域名所有者验证的正确响应。DNSSEC只是一个协议，它并不试图区分“好”和“坏”网站。

SOPA将要求互联网服务提供商重定向DNS查找“坏”网站。例如，如果Internet服务提供商的订户尝试访问thepiratebay.se网站，ISP的DNS服务器将返回另一个网站的地址，这将通知他们海盗湾已被封锁。

有了DNSSEC，这样的重定向将无法与中间人攻击区分开来，而DNSSEC的目的是防止中间人攻击。部署DNSSEC的ISP必须给出海盗湾的实际地址，因此违反了SOPA。为了适应SOPA，DNSSEC必须在其上开一个大洞，允许互联网服务提供商和**在未经域名所有者许可的情况下重定向域名DNS请求。这将很难（如果不是不可能的话）以一种安全的方式做到，可能会为攻击者打开新的安全漏洞。

幸运的是，SOPA已经死了，希望它不会回来。目前正在部署DNSSEC，为这个问题提供了一个早就该解决的解决方案。

图片来源：Khairil Yusof，Flickr上的Jemimus，Flickr上的David Holmes