6.4 公鑰的發布和建立信任錨

域名服務器通過DNS以外的方式如網站或電子郵件項解析器安全地傳輸公鑰，解析器通過此公鑰驗證獲得資源記錄的真實性和完整性。

在得到域名服務器的公鑰之后，解析器首先需要驗證該公鑰的真實性，建立起對公鑰的信任。后解析器可將被信任的公鑰（或公鑰的散列值）作為信任鏈的起點即信任錨，來構建一個信任鏈。

我國境內的域名服務器，應配置我國的DNSSEC信任源為信任錨點，配置并及時更新該信任錨點的公鑰（KSK)。

本文章首發在網安wangan.com 網站上。