ドメイン名システムセキュリティ拡張機能
dnssecは、標準のセットである インターネットセキュリティメカニズムの保証を提供します。また、これらは、その信憑性と整合性のために データ.dnssec参加者は、特定のゾーンデータを検証することができます。また、彼はDNSゾーンのデータが、作成者がゾーンで許可されたデータと同一であるかどうかを確認することができます。
データを暗号化しない
dnssecはキャッシュポインソン対策のために開発されました。資源レコードの転送時にデジタル署名を確保しています。認証はサーバ側でもクライアント側でも行われません。dnssecではデータは暗号化されません。非対称暗号システム。特定の情報の所有者をマスターサーバーと呼びます。確保すべきゾーンがある場所でもあります。すべてのレコードは秘密鍵または秘密鍵で署名されています。真正性と完全性は、公開鍵で検証することができます。拡張子 EDNS は dnssec によって優先されます。この拡張機能では、追加のパラメータを使用することができます。また、512バイトのサイズ制限もこの拡張機能で解除されています。鍵や署名を送信する場合は、より長いDNSメッセージが必要です。
DNAはどのように機能するのでしょうか?
RR、すなわちリソースレコードでは、dnssecによって情報が提供される。これらは、電子署名で情報の真正性を確保します。ゾーン内のマスターサーバーがこの情報の所有者である。それもまた、権威あるものです。確保すべきゾーンごとに、ゾーン歌唱キーがあります。このペアは公開鍵と秘密鍵で構成されています。ゾーン鍵の公開部分はDNSKEYリソースレコードとしてゾーンファイルに含まれる。秘密鍵は、各RRがゾーン内でデジタル署名されていることを保証する。この目的のためにリソースレコードが完成し、これがRRSIGリソースレコードとなります。これにはDNSレコードの署名が含まれています。
これらのトランザクションのそれぞれに対して、通常のリソースレコードと一緒にRRSIG-RRが送信されます。ゾーン内での転送の場合は、奴隷が先に受け取る。そして、これが良い解像度でキャッシュに保存されます。最後にRRが要求したリボルバーで終わるのは公開ゾーン鍵を用いて、RRは署名を検証することができる。
評価
dnssecでは、DNSリゾルバは、レコードを検証できないコンピュータやスマートフォンなどのエンドデバイスです。スタブリゾルバは、名前を完全に解決できるように構築されたプログラムです。再帰的なネームサーバーでも名前を解決するには、スタブリゾルバは、ローカルネットワークまたは インターネット接続事業者インターネットサービスプロバイダと発音します。
DO ビットが設定されている場合、これはネームサーバのリゾルバにレコードを検証することを伝えることができます。スタブリゾルバは、dnssec の EDNS 拡張をサポートしている必要があります。なので、サーバーのコンフィグレーションも可能です。つまり、常にバリデーションを行うことができるということです。
これは、DOビットの内容や存在とは無関係です。サーバーが一般的なエラーを返した場合、何かが間違っている可能性があります。成功した場合、サーバはADビット応答を返します。ADはAuthenticated Dataを意味します。スタブリゾルバでは、エラーが検証の失敗によって引き起こされたものなのか、別の原因があるのかを検出することはできません。原因としては、電源障害や、要求されたドメイン名のネームサーバーの障害などが考えられます。