Extensões de Segurança do Sistema de Nomes de Domínio
O dnssec é um conjunto de padrões no Internetque fornecem uma garantia de mecanismos de segurança. Estes também estão sujeitos à autenticidade e integridade de Dados. Um participante dnssec pode verificar certos dados da zona. Ele também pode verificar se os dados da zona DNS são idênticos aos dados que um criador está autorizado pela zona.
Sem encriptação dos dados
O dnssec foi desenvolvido para combater o envenenamento por cache. As assinaturas digitais são asseguradas durante a transferência de registros de recursos. A autenticação nunca se realiza nos servidores ou nos clientes. Com o dnssec nenhum dado é criptografado. O criptosistema assimétrico. O proprietário de uma determinada informação é chamado de servidor mestre. Há também a zona que deve ser assegurada. Todos os registos são assinados com uma chave privada. A autenticidade e a integridade podem ser validadas com uma chave pública. A extensão EDNS é preferida pela dnssec. Parâmetros adicionais podem ser usados com esta extensão. A restrição de tamanho de 512 bytes também é levantada com esta extensão. Mensagens DNS mais longas são necessárias para que uma chave ou uma assinatura seja transmitida.
Como funciona o ADN?
No RR, ou seja, Resource Record, as informações são fornecidas pela dnssec. Estes asseguram a autenticidade da informação com uma assinatura digital. O servidor mestre na zona é o proprietário desta informação. É também o autoritário. Para cada zona a ser protegida, existe uma chave de canto de zona. O par é composto por chaves públicas e privadas. A parte pública da chave de zona está incluída no ficheiro de zona como Registo de Recursos DNSKEY. A chave privada assegura que cada RR individual é assinado digitalmente na zona. Para este fim, é concluído um Registro de Recurso, que é então o Registro de Recurso RRSIG. Esta contém a assinatura para o registo DNS.
Para cada uma destas transacções é enviado um RRSIG-RR juntamente com o registo de recursos normal. Para uma transferência na zona, os escravos recebem-na primeiro. Isto é então armazenado em um cache com uma boa resolução. A última coisa que o RR acaba no revólver que o pediu. Com a chave de zona pública, o RR pode validar a assinatura.
A avaliação
Com o dnssec, os resolvedores DNS são os dispositivos finais, como um computador ou um smartphone, nos quais os registros não podem ser validados. Os Stubresolvers são programas simplesmente construídos que podem resolver completamente um nome. Mesmo em um servidor de nomes recursivo. Para resolver um nome, o stubresolver envia um pedido a um servidor de nomes na rede local, ou na rede de ISPPronunciados Provedores de Serviços de Internet.
Um bit DO é definido, isto pode dizer ao resolvedor do servidor de nomes que o registro deve ser validado. O stubresolver deve suportar a extensão EDNS do dnssec. Assim, o servidor também pode ser confogurado. Isto significa que a validação pode sempre ser realizada.
Isto é independente do conteúdo e da presença do bit DO. Se o servidor retornar um erro geral, algo deu errado. Se tiver sucesso, o servidor retorna uma resposta de bit AD. AD significa Dados Autenticados. Para um resolvedor de tocha, é impossível dizer se o erro foi acionado pela validação falhada, ou se tem outra causa. As causas podem ser uma falha de rede ou uma falha do servidor de nomes no nome de domínio solicitado.