Pular para o conteúdo 
Extensões de Segurança do Sistema de Nomes de Domínio
O dnssec é um conjunto de padrões no Internetque fornecem uma garantia de mecanismos de segurança. Estes também estão sujeitos à autenticidade e integridade do Dados. Um participante da dnssec pode verificar certos dados da zona. Ele também pode verificar se os dados da zona DNS são idênticos aos dados que um criador está autorizado pela zona.
Sem criptografia dos dados
O dnssec foi desenvolvido para combater o poinsoning do cache. As assinaturas digitais são asseguradas durante a transferência dos registros de recursos. A autenticação nunca é feita nos servidores ou nos clientes. Com o dnssec, nenhum dado é criptografado. O criptosistema assimétrico. O proprietário de uma determinada informação é chamado de servidor mestre. É também aqui que se localiza a zona a ser protegida. Cada registro é assinado com uma chave privada ou uma chave secreta. A autenticidade e também a integridade podem ser validadas com uma chave pública. A extensão EDNS é preferida pela dnssec. Parâmetros adicionais podem ser usados com esta extensão. A limitação de tamanho de 512 bytes também é removida com esta extensão. Mensagens DNS mais longas são necessárias para que uma chave ou assinatura seja transmitida.
Como funciona o DNA?
No RR, ou seja, no Resource Record, as informações são fornecidas pela dnssec. Estes asseguram a autenticidade das informações com uma assinatura digital. O servidor mestre na zona é o proprietário desta informação. É também o autoritário. Para cada zona a ser protegida, há uma chave de canto de zona. O par consiste de chaves públicas e privadas. A parte pública da chave de zona está incluída no arquivo de zona como Registro de Recurso DNSKEY. A chave privada garante que cada RR individual seja assinado digitalmente na zona. Para este fim, é concluído um Registro de Recursos, que é então o Registro de Recursos RRSIG. Isto contém a assinatura para o registro DNS.
Para cada uma dessas transações é enviado um RRSIG-RR junto com o registro normal de recursos. Para uma transferência na zona, os escravos a recebem primeiro. Isto é então armazenado em um cache com uma boa resolução. A última coisa que o RR acaba no revólver que o solicitou. Com a chave de zona pública, o RR pode validar a assinatura.
A avaliação
Com o dnssec, os resolvedores DNS são os dispositivos finais, como um computador ou um smartphone, nos quais os registros não podem ser validados. Os Stubresolvers são programas simplesmente construídos que podem resolver completamente um nome. Mesmo em um servidor de nomes recursivo. Para resolver um nome, o stubresolver envia um pedido a um servidor de nomes na rede local, ou na rede de ISP, pronuncia-se Provedor de Serviços de Internet.
Um bit DO é definido, isto pode dizer ao resolvedor do servidor de nomes que o registro deve ser validado. O stubresolver deve apoiar a extensão do EDNS do dnssec. Assim, o servidor também pode ser confogurado. Isto significa que a validação pode sempre ser realizada.
Isto é independente do conteúdo e da presença da parte DO. Se o servidor retorna um erro geral, alguma coisa deu errado. Se foi bem sucedido, o servidor dá uma resposta de bit AD. AD significa Dados Autenticados. Para um stubresolver não é possível detectar se o erro é causado pela validação falhada ou se ele tem outra causa. As causas podem ser uma falha de energia, ou uma falha no servidor de nomes no nome de domínio solicitado.
