Przejdź do treści 
Rozszerzenia zabezpieczeń systemu nazw domenowych
Dnssec jest zestawem standardów w Internetktóre zapewniają gwarancję mechanizmów bezpieczeństwa. Podlegają one również autentyczności i integralności Dane. Uczestnik dnssec może zweryfikować pewne dane strefy. Może on również sprawdzić, czy dane strefy DNS są identyczne z danymi, które autoryzował twórca strefy.
Brak szyfrowania danych
Dnssec został opracowany do walki z zatruciem skrytek. Podpisy cyfrowe są zabezpieczone podczas przesyłania zapisów o zasobach. Uwierzytelnianie nigdy nie odbywa się na serwerach ani na klientach. W dnssecu żadne dane nie są szyfrowane. Asymetryczny kryptosystem. Właściciel danej informacji jest nazywany serwerem głównym. W tym miejscu znajduje się również strefa, która ma być zabezpieczona. Każdy pojedynczy rekord jest podpisywany kluczem prywatnym lub tajnym. Autentyczność i integralność może być zweryfikowana za pomocą klucza publicznego. Rozszerzenie EDNS jest preferowane przez dnssec. Z tym rozszerzeniem mogą być używane dodatkowe parametry. Za pomocą tego rozszerzenia usunięto również ograniczenie rozmiaru do 512 bajtów. W celu przesłania klucza lub podpisu konieczne są dłuższe komunikaty DNS.
Jak działa DNA?
W RR, tj. Resource Record, informacje są dostarczane przez dnssec. Zabezpieczają one autentyczność informacji za pomocą podpisu cyfrowego. Właścicielem tych informacji jest serwer główny w strefie. Jest również autorytatywny. Dla każdej strefy, która ma być zabezpieczona, znajduje się klucz śpiewu strefowego. Para składa się z kluczy publicznych i prywatnych. Publiczna część klucza strefy jest zawarta w pliku strefy jako DNSKEY Resource Record. Klucz prywatny zapewnia, że każde indywidualne RR jest podpisane cyfrowo w strefie. W tym celu wypełnia się Rekord zasobów, który jest następnie Rekordem zasobów RRSIG. Zawiera on podpis dla rekordu DNS.
Dla każdej z tych transakcji wysyłana jest RRSIG-RR wraz z normalnym zapisem zasobów. Do transferu w strefie, niewolnicy otrzymują go pierwsi. Następnie jest on przechowywany w pamięci podręcznej w dobrej rozdzielczości. Ostatnią rzeczą, jaką RR kończy na rewolwerze, który o to poprosił. Za pomocą publicznego klucza strefowego, RR może zatwierdzić sygnaturę.
Ocena
W przypadku dnssec, resolwery DNS są urządzeniami końcowymi, takimi jak komputer lub smartfon, na których zapisy nie mogą być zatwierdzone. Stubresolwery to po prostu skonstruowane programy, które mogą całkowicie rozwiązać daną nazwę. Nawet w rekurencyjnym serwerze nazw. Aby rozwiązać problem z nazwą, stubresolwer wysyła żądanie do serwera nazw w sieci lokalnej lub w sieci o nazwie ISP...ogłoszony dostawca usług internetowych.
Ustawiony jest bit DO, który może powiedzieć resolverowi serwera nazw, że rekord ma być sprawdzony. Stubresolwer musi obsługiwać rozszerzenie EDNS dnssec. Tak więc serwer może być również konfoguratowany. Oznacza to, że walidacja może być zawsze przeprowadzona.
Jest to niezależne od zawartości i obecności bitu DO. Jeśli serwer zwróci ogólny błąd, coś poszło nie tak. Jeśli się udało, serwer daje odpowiedź bitową AD. AD oznacza dane uwierzytelnione. W przypadku stubresolwera nie jest możliwe wykrycie, czy błąd jest spowodowany nieudaną walidacją, czy też ma inną przyczynę. Przyczyną może być awaria zasilania lub serwera nazw w żądanej nazwie domeny.
