我需要DNSSEC吗？

Question

在阅读了WindowsServer2008DNSSEC实现之后，在我看来，它似乎增加了额外的复杂性，而没有完全安全(我确实理解，在大多数情况下，更多的安全性总是意味着更复杂)。

第一种DNS客户端不知道DNSSEC，并要求解析该记录的同一服务器检查该记录的有效性，并且只在NRPT表存在时才这样做(您需要另外配置它-没有表没有检查；WS 2012/Win 8中仍然是这种情况)。除了在某种程度上看上去笨拙的体系结构之外，问题是客户端没有任何选项来验证DNS服务器(在这方面，您需要部署在IPSec网络中的100%安全，这会增加更多的复杂性)。

因此，考虑到所有这些因素，在现实世界中部署DNSSEC是否值得？它是真的提高了安全性，还是只是增加了不必要的复杂性？

有人真的在企业Windows网络中使用这种技术吗？

Answer 1

一种看待它的方法是，它是否“值得”并不重要。在某些必须遵守某些审计策略(如FISMA和FedRAMP )的环境中，这是强制性的。(参阅NIST特别出版物800-53 SC-20和SC-21)

如果你不符合这类要求，那么只有你才能决定它对你是否值得。的确，DNSSEC和IPsec引入了复杂性。的确，在不将DNSSEC与IPsec耦合的情况下，在内部/私有区域中使用DNSSEC是有限的。当谈到内部/私有DNS区域时，只有当客户端能够信任他或她正在与真正正确的DNS服务器交谈时，DNSSEC才是真正有用的。要验证该身份验证，通常还需要IPsec。

此外，考虑不要在任何小于Server 2012的Windows Server上使用DNSSEC。服务器2008 R2上的DNSSEC只能使用SHA-1，而不能使用SHA-2.由于因特网根区域(即.)是用RSA/SHA-256签署的，这意味着服务器2008 R2作为internet区域的验证器将是无用的。服务器2012及以上版本解决了这个问题。

不管这种复杂性对你或你的公司来说是否太过复杂，或者额外的好处是否值得.太主观了，我们不能回答你。