DNSSec的工作原理

　　在讨论DNSSec的普及为何如此缓慢之前，我们需要看一下DNSSec的工作原理以及它是如何防止缓存中毒的。

　　当然，缓存中毒诱使域名服务器缓存虚假资源记录。在黑客的控制下，这些记录可能会将通用网站如www.ebay.com的记录映射到一个受黑客控制的Web服务器上的IP地址。那台Web服务器提供的内容与eBay的真实内容难以区分。实际上，该Web服务器恰好可以代理来自www.ebay.com的真实内容。用户可能无意间将重要信息输入到欺诈网站，于是被记录下来用以破坏用户账户，提高费用等等。

　　DNSSec通过允许域名管理员签署数字域名数据，来解决缓存中毒问题。就像签署重要邮件信息一样。

　　例如，Infoblox的管理员已签署了infoblox.com域名。因此，接收infoblox.com数据的域名服务器可以使用自动生成的数字签名验证该数据。如果该数据有效，那么该域名服务器一定是真实的、完整的。

　　以infoblox.com为例，这意味着进行验证的域名服务器可以确定www.infoblox.com 的A记录是由infoblox.com域名的正式授权管理员签署的，并且签署后没有修改。如果有人蓄意将www.infoblox.com的A记录注入到一个域名服务器的缓存中，他们将无法假造签名，验证无法通过，域名服务器将拒绝A记录。

　　关于DNSSec还有很多内容需要了解：比如可证明否定存在的信任链等等。然而，部署为什么耗费如此之长的时间呢?我们先看一下背景资料。