域名系统 (DNS) 如同互联网的电话簿;它告诉电脑要去哪里存取资料。然而不幸的是,它接受任何位置的回应,不经过任何验证。
电子邮件服务器使用 DNS 路由它们的信件,这意味着它们在安全上处于弱势。2014 年 9 月, CMU 的研究人员发现发送给Yahoo!、Gmail的邮件经过了不明的服务器。攻击者利用一个已经存于DNS系统几十年的老漏洞—— 它并不会进行任何检查就接受结果。
而解决这问题的最终方案是DNSSEC,它借由提交验证资讯在上级域名服务器;例如当一个DNS要求解析blog.cloudflare.com时 .com 会负责验证它是正确的被指向cloudflare,然后Cloudflare会负责验证它正确地被指向blog。而 .com的验证是交由根服务器(事实上,所有顶级域都是由根服务器解析)进行,这是通过了一个公开的安全审核(一般来说,我们无条件相信root服务器),这是经过了DNSSEC签约仪式(The DNSSEC Root Signing Ceremony)。