Перейти к содержимому 
Расширения безопасности системы доменных имен
Днссек - это набор стандартов в области Интернеткоторые гарантируют механизмы безопасности. Они также зависят от подлинности и целостности Данные. Участник dnssec может проверить данные определенной зоны. Он также может проверить, идентичны ли данные зоны DNS данным, авторизованным создателем зоны.
Нет шифрования данных
Днсек был разработан для борьбы с пуансонированием кэша. Цифровые подписи защищены во время передачи записей ресурса. Аутентификация никогда не происходит на серверах или на клиентах. С помощью dnssec данные не шифруются. Асимметричная криптосистема. Владелец определенной части информации называется главным сервером. Здесь же находится и охраняемая зона. Каждая запись подписывается личным ключом или секретным ключом. Аутентичность и целостность могут быть подтверждены с помощью открытого ключа. Расширение EDNS предпочитается dnssec. С этим расширением можно использовать дополнительные параметры. Ограничение по размеру в 512 байт также удаляется с помощью этого расширения. Более длинные DNS-сообщения необходимы для передачи ключа или подписи.
Как работает ДНК?
В РР, т.е. Ресурсном реестре, информация предоставляется dnssec. Они обеспечивают подлинность информации с помощью цифровой подписи. Владельцем этой информации является главный сервер в зоне. Он также является авторитетным. Для каждой зоны, которая должна быть защищена, есть поющий ключ зоны. Пара состоит из публичного и частного ключей. Публичная часть ключа зоны включена в файл зоны в качестве DNSKEY Resource Record. Частный ключ обеспечивает цифровую подпись каждого отдельного РР в зоне. Для этого заполняется Запись Ресурсов, которая затем является Записями Ресурсов RRSIG. Здесь содержится подпись для DNS-записи.
Для каждой из этих операций посылается RRSIG-RR вместе с нормальной учетной записью ресурса. Для передачи в зоне рабы получают ее первыми. Затем он хранится в кэше с хорошим разрешением. Последнее, что РР окажется у револьвера, который его просил. С помощью ключа зоны общего пользования РР может подтвердить подлинность подписи.
Оценка
С помощью dnssec DNS resolvers являются конечными устройствами, такими как компьютер или смартфон, на которых записи не могут быть проверены. Стубрезольверы - это просто сконструированные программы, которые могут полностью разрешить имя. Даже в рекурсивном сервере имен. Для разрешения имени stubresolver посылает запрос на сервер имени в локальной сети, или в сети из ИНТЕРНЕТ-ПРОВАЙДЕР...объявленным интернет-провайдером.
Устанавливается бит DO, который может сообщить преобразователю сервера имен, что запись должна быть проверена. Резинщик должен поддерживать EDNS-расширение dnssec. Так что сервер тоже может быть замурован. Это означает, что проверка может быть выполнена всегда.
Это не зависит от содержания и наличия бита DO. Если сервер возвращает общую ошибку, что-то пошло не так. Если все прошло успешно, сервер выдает ответ в виде бита AD. AD означает аутентифицированные данные. Для резиново-резольвера невозможно определить, вызвана ли ошибка неудачной проверкой или у нее есть другая причина. Причинами могут быть сбой электропитания или сбой сервера имени в запрашиваемом доменном имени.
