Преминаване към съдържанието 
Разширения за сигурност на системата за имена на домейни
dnssec е набор от стандарти в Интернеткоито дават гаранция за механизмите за сигурност. Те също така зависят от автентичността и целостта на Данни. Участник в dnssec може да провери определени данни за зоната. По този начин може да се провери дали данните на DNS зоната са идентични с тези, които са разрешени от създателя на зоната.
Няма криптиране на данните
dnssec е разработен за борба с отравянето на кеша. Цифровите подписи са защитени по време на прехвърлянето на ресурсни записи. Удостоверяването не се извършва нито на сървърите, нито на клиентите. При dnssec данните не се криптират. Асиметричната криптосистема. Собственикът на определена информация се нарича главен сървър. Има и зона, която трябва да бъде обезопасена. Всеки отделен запис се подписва с частен ключ. Автентичността и целостта могат да бъдат потвърдени с публичен ключ. Разширението EDNS се предпочита от dnssec. С това разширение могат да се използват допълнителни параметри. С това разширение се премахва и ограничението за размер от 512 байта. Ако трябва да се предаде ключ или подпис, са необходими по-дълги DNS съобщения.
Как работи DNS?
Информацията в RR, т.е. запис на ресурс, се предоставя в dnssec. Те гарантират автентичността на информацията с цифров подпис. Главният сървър, разположен в зоната, е собственик на тази информация. Това също е авторитетно. За всяка зона, която трябва да бъде защитена, има ключ за пеене на зони, т.е. ключ за зона. Двойката се състои от публичен и частен ключ. Публичната част на ключа на зоната се включва във файла на зоната като запис на ресурса DNSKEY. Частният ключ гарантира, че всеки отделен RR е цифрово подписан в зоната. За тази цел се попълва запис на ресурса, който след това е запис на ресурса на RRSIG. Съдържа подписа на DNS записа.
При всяка от тези транзакции се изпраща RRSIG-RR заедно с нормалния запис на ресурса. В случай на прехвърляне в зоната, подчинените устройства го получават първи. След това се съхранява в кеш, ако разделителната способност е добра. Последният, който получава RR, е револверът, който го е поискал. С помощта на публичния ключ на зоната може да се валидира подписът.
Оценката
При dnssec DNS резолверите са крайните устройства, като например компютър или смартфон, на които записите не могат да бъдат валидирани. Резолверите на имена са просто изградени програми, които могат да разрешават напълно дадено име. Също така в рекурсивен сървър за имена. За да разреши това име, сървърът за имена изпраща заявка до сървър за имена в локалната мрежа или също в мрежата на ISPобявени доставчици на интернет услуги.
Задава се бит DO, който може да информира резолвера на сървъра за имена, че записът трябва да бъде валидиран. За тази цел преобразувателят трябва да поддържа разширението EDNS от dnssec. Така че сървърът също може да бъде конфигуриран. Това означава, че валидирането може да се извърши винаги.
Това не зависи от съдържанието и наличието на бита DO. Ако сървърът върне обща грешка, значи нещо се е объркало. Ако тя е успешна, сървърът връща отговор с AD bit. AD означава автентифицирани данни. При резолвера на стеб е невъзможно да се определи дали грешката е предизвикана от неуспешното валидиране, или има друга причина. Причините могат да бъдат мрежова повреда или повреда на сървъра за имена в заявеното име на домейн.
