Domēna vārdu sistēmas drošības paplašinājumi
dnssec ir standartu kopums, kas attiecas uz Internetskas garantē drošības mehānismus. Uz tiem attiecas arī autentiskums un integritāte. Dati. Dnssec dalībnieks var pārbaudīt noteiktus zonas datus. Tā var arī pārbaudīt, vai DNS zonas dati ir identiski tiem, kurus autentificē zonas radītājs.
Nav datu šifrēšanas
Dnssec tika izstrādāts, lai cīnītos pret kešatmiņas saindēšanu. Resursu ierakstu pārsūtīšanas laikā tiek nodrošināti digitālie paraksti. Autentifikācija nekad nenotiek ne serveros, ne klientos. Izmantojot dnssec, dati netiek šifrēti. Asimetriskā kriptosistēma. Noteiktas informācijas īpašnieku sauc par galveno serveri. Ir arī zona, kas ir jāaizsargā. Katrs ieraksts tiek parakstīts ar privāto atslēgu. Autentiskumu un integritāti var apstiprināt ar publisko atslēgu. Dnssec priekšroku dod paplašinājumam EDNS. Izmantojot šo paplašinājumu, var izmantot papildu parametrus. Ar šo paplašinājumu tiek atcelts arī 512 baitu lieluma ierobežojums. Ja jāpārraida atslēga vai paraksts, ir nepieciešami garāki DNS ziņojumi.
Kā darbojas DNS?
RR, t. i., Resursu ierakstā, informācija ir pieejama dnssec. Tie nodrošina informācijas autentiskumu ar digitālo parakstu. Šīs informācijas īpašnieks ir zonā esošais galvenais serveris. Arī tas ir autoritatīvs. Katrai aizsargājamajai zonai ir zonas dziedāšanas atslēga, t. i., zonas atslēga. Pāris sastāv no publiskās un privātās atslēgas. Zonas atslēgas publiskā daļa tiek iekļauta zonas failā kā DNSKEY resursa ieraksts. Privātā atslēga nodrošina, ka katrs atsevišķais RR zonā ir digitāli parakstīts. Šim nolūkam tiek aizpildīts resursa ieraksts, kas pēc tam ir RRSIG resursa ieraksts. Tajā ir DNS ieraksta paraksts.
Katrā no šiem darījumiem kopā ar parasto resursu ierakstu tiek nosūtīts RRSIG-RR. Ja zonā notiek pārsūtīšana, vergi to saņem pirmie. Ja izšķirtspēja ir laba, tas tiek saglabāts kešatmiņā. Pēdējais, kas saņem RR, ir revolveris, kurš to pieprasīja. Izmantojot publiskās zonas atslēgu, var apstiprināt parakstu.
Novērtējums
Izmantojot dnssec, DNS resolveri ir gala ierīces, piemēram, dators vai viedtālrunis, kurās ierakstus nevar pārbaudīt. Stub resolveri ir vienkārši uzbūvētas programmas, kas var pilnībā atrisināt vārdu. Arī rekursīvajā nosaukumu serverī. Lai atrisinātu šo vārdu, vārdu serveris nosūta pieprasījumu vietējam vārdu serverim lokālajā tīklā vai arī tīklam, kurā atrodas nosaukums. ISPizteikti interneta pakalpojumu sniedzēji.
Tiek iestatīts DO bits, kas var informēt vārdu servera resolveri, ka ieraksts ir jāapstiprina. Stubresolver jāatbalsta paplašinājums EDNS no dnssec, lai to. Tātad serveri var arī konfigurēt. Tas nozīmē, ka validāciju var veikt vienmēr.
Tas nav atkarīgs no DO bita satura un klātbūtnes. Ja serveris atgriež vispārīgu kļūdu, kaut kas nav kārtībā. Ja tas ir bijis veiksmīgs, serveris atgriež AD bitu atbildi. AD ir autentificēti dati. Atšķiršanas serverim nav iespējams noteikt, vai kļūdu izraisīja neveiksmīga validācija vai arī tai ir cits cēlonis. Cēloņi var būt tīkla kļūme vai pieprasītā domēna vārda nosaukuma servera kļūme.