Mene sisältöön 
Verkkotunnusjärjestelmän tietoturvalaajennukset
dnssec on joukko standardeja, jotka on laadittu Internetjotka takaavat turvamekanismit. Myös nämä ovat riippuvaisia siitä, että aitous ja eheys on Tiedot. dnssec-osallistuja voi tarkistaa tietyt vyöhyketiedot. Näin voidaan myös tarkistaa, ovatko DNS-vyöhykkeen tiedot identtiset sen kanssa, jonka vyöhykkeen luoja on hyväksynyt.
Tietoja ei ole salattu
dnssec kehitettiin välimuistimyrkytyksen torjumiseksi. Digitaaliset allekirjoitukset suojataan resurssitietueiden siirron aikana. Todennusta ei koskaan tehdä palvelimilla eikä asiakkailla. dnssec-toiminnolla tietoja ei salata. Epäsymmetrinen salausjärjestelmä. Tietyn tiedon omistajaa kutsutaan pääpalvelimeksi. Myös suojattava alue sijaitsee siellä. Jokainen yksittäinen tietue allekirjoitetaan yksityisellä tai salaisella avaimella. Aitouden ja eheyden voi vahvistaa julkisella avaimella. dnssec suosii laajennusta EDNS. Lisäparametreja voidaan käyttää tämän laajennuksen kanssa. Myös 512 tavun kokorajoitus poistuu tämän laajennuksen myötä. Pidemmät DNS-viestit ovat tarpeen, jos on tarkoitus lähettää avain tai allekirjoitus.
Miten DNS toimii?
RR:ssä eli resurssitiedostossa olevat tiedot ovat saatavilla dnssec-sivustolla. Nämä varmistavat tietojen aitouden digitaalisella allekirjoituksella. Vyöhykkeellä sijaitseva pääpalvelin on näiden tietojen omistaja. Tämä on myös arvovaltainen. Kullekin suojattavalle vyöhykkeelle on olemassa vyöhykkeen laulava avain eli vyöhykeavain. Pari koostuu julkisesta ja yksityisestä avaimesta. Vyöhykeavaimen julkinen osa sisältyy vyöhyketiedostoon DNSKEY-resurssitietueena. Yksityinen avain varmistaa, että jokainen yksittäinen RR on digitaalisesti allekirjoitettu vyöhykkeellä. Tätä tarkoitusta varten täytetään resurssitietue, joka on RRSIG-resurssitietue. Tämä sisältää DNS-merkinnän allekirjoituksen.
Jokaisen tällaisen tapahtuman yhteydessä lähetetään RRSIG-RR tavanomaisen resurssitietueen mukana. Jos siirto tapahtuu vyöhykkeellä, orjat saavat sen ensin. Tämä tallennetaan välimuistiin, jos resoluutio on hyvä. Viimeisenä RR:n saa se revolveri, joka sitä pyysi. Julkisen vyöhykeavaimen avulla tämä voi vahvistaa allekirjoituksen.
Arviointi
dnssec-ohjelmassa DNS-resolverit ovat loppulaitteita, kuten tietokoneita tai älypuhelimia, joilla tietueita ei voida vahvistaa. Stub-resolverit ovat yksinkertaisesti rakennettuja ohjelmia, jotka voivat ratkaista nimen kokonaan. Myös rekursiivisessa nimipalvelimessa. Nimen ratkaisemiseksi nimipalvelin lähettää pyynnön paikallisen verkon nimipalvelimelle tai myös sen verkon nimipalvelimelle, jossa ISPlausutaan Internet-palveluntarjoajat.
Asetetaan DO-bitti, joka voi ilmoittaa nimipalvelimen resolverille, että tietue on validoitava. Stub-resolverin on kuitenkin tuettava dnssec:n EDNS-laajennusta tätä varten. Tällä tavoin myös palvelin voidaan konfiguroida. Tämä tarkoittaa, että validointi voidaan aina suorittaa.
Tämä on riippumaton DO-bitin sisällöstä ja läsnäolosta. Jos palvelin palauttaa yleisen virheen, jokin on mennyt pieleen. Jos se onnistui, palvelin palauttaa AD-bittisen vastauksen. AD tarkoittaa todennettuja tietoja. Stub-resolverin osalta on mahdotonta sanoa, johtuuko virhe epäonnistuneesta validoinnista vai jostain muusta syystä. Syynä voi olla verkkovika tai nimipalvelimen vika pyydetyssä verkkotunnuksessa.
