Domeinnaamsysteem Beveiligingsuitbreidingen
De dnssec is een set van normen in de internetdie een garantie bieden voor veiligheidsmechanismen. Deze zijn ook onderworpen aan de authenticiteit en integriteit van Gegevens. Een dnssec-deelnemer kan bepaalde zonegegevens verifiëren. Hij kan ook controleren of de gegevens van de DNS-zone identiek zijn aan de gegevens die de maker van de zone heeft geautoriseerd.
Geen versleuteling van de gegevens
De dnssec is ontwikkeld om cache poinsoning tegen te gaan. Digitale handtekeningen worden beveiligd tijdens de overdracht van bronbestanden. Authenticatie vindt nooit plaats op de servers of op de clients. Met dnssec worden geen gegevens versleuteld. Het asymmetrische cryptosysteem. De eigenaar van een bepaald stuk informatie wordt de hoofdserver genoemd. Hier bevindt zich ook de te beveiligen zone. Elk record wordt ondertekend met een privé-sleutel of een geheime sleutel. Authenticiteit en integriteit kunnen worden gevalideerd met een publieke sleutel. De uitbreiding EDNS heeft de voorkeur van dnssec. Met deze uitbreiding kunnen extra parameters worden gebruikt. De groottebeperking van 512 bytes is met deze extensie ook verwijderd. Langere DNS-berichten zijn nodig om een sleutel of handtekening te kunnen versturen.
Hoe werkt het DNA?
In het RR, d.w.z. Resource Record, wordt informatie verstrekt door dnssec. Deze beveiligen de authenticiteit van de informatie met een digitale handtekening. De hoofdserver in de zone is de eigenaar van deze informatie. Het is ook de gezaghebbende. Voor elke te beveiligen zone is er een zingende toonaard. Het paar bestaat uit publieke en private sleutels. Het publieke deel van de zonesleutel is opgenomen in het zonebestand als DNSKEY Resource Record. De privé-sleutel zorgt ervoor dat elke individuele RR digitaal wordt ondertekend in de zone. Hiervoor wordt een Resource Record ingevuld, wat dan het RRSIG Resource Record is. Dit bevat de handtekening voor het DNS-record.
Voor elk van deze transacties wordt een RRSIG-RR verstuurd, samen met de normale middelenregistratie. Voor een overdracht in de zone ontvangen de slaven het eerst. Dit wordt dan opgeslagen in een cache met een goede resolutie. Het laatste wat de RR bij de revolver belandt die erom gevraagd heeft. Met de openbare zonesleutel kan de RR de handtekening valideren.
De evaluatie
Bij dnssec zijn de DNS-oplossers de eindapparaten, zoals een computer of een smartphone, waarop de records niet kunnen worden gevalideerd. Stubresolvers zijn eenvoudigweg geconstrueerde programma's die een naam volledig kunnen oplossen. Zelfs in een recursieve naamserver. Om een naam op te lossen, stuurt de stubresolver een verzoek naar een nameserver in het lokale netwerk, of in het netwerk van ISP, uitgesproken Internet Service Provider.
Een DO-bit is ingesteld, dit kan de resolver van de nameserver vertellen dat het record gevalideerd moet worden. De stubresolver moet de EDNS-verlenging van de dnssec ondersteunen. De server kan dus ook worden geconfirmeerd. Dit betekent dat de validatie altijd kan worden uitgevoerd.
Dit is onafhankelijk van de inhoud en de aanwezigheid van de DO-bit. Als de server een algemene fout teruggeeft, is er iets misgegaan. Als het succesvol was, geeft de server een AD bit respons. AD betekent: Authentieke gegevens. Voor een stubresolver is het niet mogelijk om te detecteren of de fout wordt veroorzaakt door de mislukte validatie of dat het een andere oorzaak heeft. Oorzaken kunnen een stroomstoring zijn, of een storing van de nameserver in de gevraagde domeinnaam.