Eiti prie turinio 
Domenų vardų sistemos saugumo plėtiniai
dnssec yra standartų rinkinys, skirtas Internetaskurie suteikia saugumo mechanizmų garantiją. Jie taip pat priklauso nuo autentiškumo ir vientisumo Duomenys. "dnssec" dalyvis gali patikrinti tam tikrus zonos duomenis. Taip pat galima patikrinti, ar DNS zonos duomenys sutampa su tais, kuriuos autorizavo zonos kūrėjas.
Nėra duomenų šifravimo
"dnssec" buvo sukurtas kovai su talpyklos apsinuodijimu. Skaitmeniniai parašai saugomi perduodant išteklių įrašus. Autentiškumo nustatymas niekada nevyksta nei serveriuose, nei klientuose. Naudojant "dnssec" jokie duomenys nėra šifruojami. Asimetrinė kriptosistema. Tam tikros informacijos savininkas vadinamas pagrindiniu serveriu. Taip pat yra zona, kurią reikėtų apsaugoti. Kiekvienas įrašas pasirašomas privačiu raktu. Autentiškumą ir vientisumą galima patvirtinti viešuoju raktu. "dnssec" pirmenybę teikia plėtiniui EDNS. Naudojant šį plėtinį galima naudoti papildomus parametrus. Šis plėtinys taip pat panaikina 512 baitų dydžio apribojimą. Jei reikia perduoti raktą arba parašą, reikia ilgesnių DNS pranešimų.
Kaip veikia DNS?
RR, t. y. išteklių įrašo, informacija pateikiama dnssec. Juose informacijos autentiškumas užtikrinamas skaitmeniniu parašu. Šios informacijos savininkas yra zonoje esantis pagrindinis serveris. Tai taip pat yra autoritetinga. Kiekvienai saugotinai zonai yra zonos dainavimo raktas, t. y. zonos raktas. Porą sudaro viešasis ir privatusis raktai. Viešoji zonos rakto dalis įtraukiama į zonos failą kaip DNSKEY ištekliaus įrašas. Privačiuoju raktu užtikrinama, kad kiekvienas atskiras RR zonoje būtų pasirašytas skaitmeniniu parašu. Šiuo tikslu užpildomas išteklių įrašas, kuris vėliau tampa RRSIG išteklių įrašu. Čia pateikiamas DNS įrašo parašas.
Atliekant kiekvieną iš šių operacijų, kartu su įprastiniu išteklių įrašu siunčiamas RRSIG-RR. Jei perdavimas atliekamas zonoje, vergvaldžiai jį gauna pirmieji. Jei skiriamoji geba yra gera, ji išsaugoma talpykloje. RR paskutinis gauna revolveris, kuris jo paprašė. Naudojant viešąjį zonos raktą galima patvirtinti parašą.
Vertinimas
Naudojant "dnssec", DNS serveriai yra galutiniai įrenginiai, pvz., kompiuteris ar išmanusis telefonas, kuriuose įrašų negalima patvirtinti. "Stub resolvers" yra tiesiog sukurtos programos, kurios gali visiškai išspręsti vardą. Taip pat ir rekursiniame vardų serveryje. Norėdamas išspręsti šį vardą, vardų serveris siunčia užklausą vardų serveriui, esančiam vietiniame tinkle arba IPTryškūs interneto paslaugų teikėjai.
Nustatomas DO bitas, kuris gali informuoti vardų serverio resolverį, kad įrašas turi būti patvirtintas. Šiam tikslui stubresolveris turi palaikyti dnssec plėtinį EDNS. Taigi serveris taip pat gali būti konfigūruojamas. Tai reiškia, kad patvirtinimą galima atlikti visada.
Tai nepriklauso nuo DO bito turinio ir buvimo. Jei serveris grąžina bendrą klaidą, kažkas nepavyko. Jei tai pavyko, serveris grąžina AD bitų atsakymą. AD reiškia autentifikuotus duomenis. Jei tai "stub resolver", neįmanoma nustatyti, ar klaida atsirado dėl nepavykusio patvirtinimo, ar dėl kitos priežasties. Priežastys gali būti tinklo gedimas arba vardų serverio gedimas prašomame domeno varde.
