Extensiones de seguridad del sistema de nombres de dominio
El dnssec es un conjunto de normas en el Internetque proporcionan una garantía de los mecanismos de seguridad. Estos también están sujetos a la autenticidad e integridad de Datos. Un participante del dnssec puede verificar ciertos datos de la zona. También puede comprobar si los datos de la zona DNS son idénticos a los datos que un creador está autorizado por la zona.
No hay cifrado de los datos
El dnssec fue desarrollado para combatir el poinsonaje de la memoria caché. Las firmas digitales están aseguradas durante la transferencia de los registros de recursos. La autentificación nunca tiene lugar en los servidores o en los clientes. Con dnssec no se encriptan los datos. El criptosistema asimétrico. El propietario de una información en particular se llama el servidor maestro. Aquí es también donde se encuentra la zona a asegurar. Cada registro está firmado con una clave privada o una clave secreta. La autenticidad y la integridad pueden ser validadas con una clave pública. La extensión EDNS es preferida por dnssec. Con esta ampliación se pueden utilizar parámetros adicionales. La limitación de tamaño de 512 bytes también se elimina con esta ampliación. Se necesitan mensajes DNS más largos si se va a transmitir una clave o firma.
¿Cómo funciona el ADN?
En el RR, es decir, el Registro de Recursos, la información es proporcionada por dnssec. Estos aseguran la autenticidad de la información con una firma digital. El servidor maestro de la zona es el propietario de esta información. También es la autorizada. Para cada zona que se va a asegurar, hay una clave de canto de zona. El par consiste en llaves públicas y privadas. La parte pública de la llave de la zona está incluida en el archivo de la zona como Registro de Recursos de DNSKEY. La clave privada asegura que cada RR individual esté firmado digitalmente en la zona. Para ello se completa un Registro de Recursos, que es entonces el Registro de Recursos RRSIG. Esto contiene la firma para el registro DNS.
Para cada una de estas transacciones se envía un RRSIG-RR junto con el registro normal de recursos. Para un traslado en la zona, los esclavos lo reciben primero. Esto se almacena en un caché con una buena resolución. Lo último que hace el RR es terminar en el revólver que lo solicitó. Con la clave de la zona pública, el RR puede validar la firma.
La evaluación
Con dnssec, los resolutores de DNS son los dispositivos finales, como una computadora o un teléfono inteligente, en los que no se pueden validar los registros. Los Stubresolvers son programas simplemente construidos que pueden resolver completamente un nombre. Incluso en un servidor de nombres recursivo. Para resolver un nombre, el stubresolver envía una solicitud a un servidor de nombres en la red local, o en la red de ISP, pronunciado Proveedores de Servicios de Internet.
Un bit de DO se establece, esto puede decirle a la resolución del servidor de nombres que el registro debe ser validado. El stubresolver debe soportar la extensión EDNS del dnssec. Así que el servidor también puede ser confogurado. Esto significa que la validación siempre se puede realizar.
Esto es independiente del contenido y la presencia del bit DO. Si el servidor devuelve un error general, algo ha salido mal. Si tuvo éxito, el servidor da una respuesta de bits AD. AD significa Datos Autentificados. En el caso de un stubresolver no es posible detectar si el error es causado por la validación fallida o si tiene otra causa. Las causas pueden ser un fallo de alimentación, o un fallo del servidor de nombres en el nombre de dominio solicitado.