為網絡保安出一分力，建立 DNSSEC 的支援

網域名稱系統 (Domain Name System簡稱 DNS) 是一項被廣泛使用的互聯網服務。它提供網域名稱和IP地址相互對換，使人更方便地存取互聯網，不須記憶 IP 地址。DNS早在1983年被發明，當時未有加入保安設計，導致現時容易成為駭客攻擊的目標。

針對 DNS 的攻擊包括有“中間人攻擊＂、“DNS快取毒害攻擊＂、“DNS 詐騙＂及“偽冒的 DNS 伺服器＂等，這些攻擊能夠成功，主要原因是DNS查詢與回應中缺乏驗證，駭客可以制造假DNS封包，回應錯誤的 IP 地址，便能誤導使用者到偽冒的網站。

過去有一些網域遭到攻擊的事件，如2013 年google.com.my 及 google.my 域名遭DNS快取毒害攻擊，誤導使用者至偽冒網站。在2015年馬來西亞航空公司(MAS)的網域名稱伺服器被入侵及更改域名記錄，同樣地誤導使用者至偽冒網站。

早在2000年已有人提出利用「網域名稱系統安全擴展」(DNSSEC) 來增強 DNS 的資料完整性。到了2007年最頂層的根網域「.」正式支援DNSSEC，其他頂層網域(TLD)相繼加入，「.hk」頂層網域在2017年9月也正式支援DNSSEC。

DNSSEC利用公私鑰匙加密技術的數位簽署來實現域名記錄的驗證，它利用私有匙對DNS記錄進行簽署，收到回應的系統則利用公有匙(Public-key)來驗證記錄的來源及內容曾否遭竄改。為了防止公有匙被偽冒，公有匙的數位簽署會被放在Parent Zone的記錄內，如此層層驗證，構成整個DNS信任鏈，令駭客難以偽冒。

香港電腦保安事故協調中心建議域名管理員為所管理的域名加入DNSSEC的支援，提高本身域名記錄的完整性及可信性，為網絡保安出一分力。