Ugrás a tartalomra 
Domain névrendszer biztonsági kiterjesztései
A dnssec egy szabványkészlet a Internetamelyek garanciát nyújtanak a biztonsági mechanizmusokra. Ezek is a hitelesség és integritás függvényei. Adatok. A dnssec résztvevője ellenőrizhet bizonyos zónaadatokat. Ez azt is ellenőrizheti, hogy a DNS-zóna adatai megegyeznek-e azzal, amit a zóna létrehozója engedélyezett.
Az adatok titkosítása nem történik
A dnssec-et a cache-mérgezés elleni küzdelemre fejlesztették ki. A digitális aláírások az erőforrásrekordok továbbítása során biztosítottak. A hitelesítésre sem a kiszolgálókon, sem az ügyfeleken nem kerül sor. A dnssec esetében az adatok nem titkosítottak. Az aszimmetrikus titkosítási rendszer. Egy adott információ tulajdonosát mesterszerver-nek nevezzük. A biztosítandó zóna is ott található. Minden egyes rekordot egy privát vagy titkos kulccsal írnak alá. A hitelesség és az integritás nyilvános kulccsal érvényesíthető. A dnssec az EDNS kiterjesztést részesíti előnyben. Ezzel a kiterjesztéssel további paraméterek is használhatók. Az 512 bájtos méretkorlátozás is megszűnik ezzel a kiterjesztéssel. Hosszabb DNS-üzenetekre van szükség, ha kulcsot vagy aláírást kell továbbítani.
Hogyan működik a DNS?
Az RR-ben, azaz az Resource Recordban szereplő információkat a dnssec teszi elérhetővé. Ezek digitális aláírással biztosítják az információ hitelességét. A zónában található mesterkiszolgáló a tulajdonosa ennek az információnak. Ez is mérvadó. Minden egyes biztosítandó zónához tartozik egy zóna-kulcs, azaz egy zónakulcs. A pár nyilvános és privát kulcsokból áll. A zónakulcs nyilvános része DNSKEY erőforrásrekordként szerepel a zónafájlban. A magánkulcs biztosítja, hogy minden egyes RR digitálisan alá van írva a zónában. Ebből a célból egy erőforrásrekordot töltenek ki, amely azután az RRSIG erőforrásrekord. Ez tartalmazza a DNS-bejegyzés aláírását.
Minden ilyen tranzakcióhoz egy RRSIG-RR-t kell küldeni a normál erőforrásrekorddal együtt. A zónán belüli átvitel esetén a szolgák kapják meg először. Ezt aztán egy gyorsítótárban tárolja, ha a felbontás jó. Utolsóként az a revolver kapja meg az RR-t, amelyik azt kérte. A nyilvános zónakulccsal ez képes az aláírás érvényesítésére.
Az értékelés
A dnssec esetében a DNS-feloldók azok a végberendezések, például számítógépek vagy okostelefonok, amelyeken a rekordok nem érvényesíthetők. A stub resolverek egyszerűen olyan programok, amelyek képesek egy név teljes feloldására. Rekurzív névkiszolgálóban is. A név feloldásához a névkiszolgáló kérést küld a helyi hálózaton lévő névkiszolgálónak, vagy a helyi hálózaton lévő névkiszolgálónak. ISPkimondottan internetszolgáltatók.
A DO bit be van állítva, amely tájékoztathatja a névkiszolgáló feloldóját, hogy a rekordot validálni kell. Ehhez azonban a csonkfeloldónak támogatnia kell a dnssec EDNS kiterjesztését. Ily módon a kiszolgáló is konfogurálható. Ez azt jelenti, hogy az érvényesítés mindig elvégezhető.
Ez független a DO bit tartalmától és jelenlététől. Ha a kiszolgáló általános hibát küld vissza, akkor valami rosszul sült el. Ha a művelet sikeres volt, a kiszolgáló egy AD bit választ küld vissza. Az AD hitelesített adatokat jelent. Egy csonkfeloldó esetében nem lehet megmondani, hogy a hibát a sikertelen érvényesítés vagy más ok okozta. Ennek oka lehet hálózati hiba vagy a névkiszolgáló hibája a kért tartománynévben.
