Bezpečnostné rozšírenia systému názvov domén
dnssec je súbor štandardov v Internetktoré poskytujú záruku bezpečnostných mechanizmov. Aj tie podliehajú pravosti a integrite Údaje. Účastník dnssec môže overiť určité údaje o zóne. Takisto sa dá skontrolovať, či sú údaje zóny DNS totožné s údajmi, ktoré má autorizovaný tvorca zóny.
Žiadne šifrovanie údajov
Systém dnssec bol vyvinutý na boj proti otravovaniu vyrovnávacej pamäte. Digitálne podpisy sú zabezpečené počas prenosu záznamov o zdrojoch. Autentifikácia sa nikdy neuskutočňuje na serveroch ani u klientov. Pri dnssec nie sú šifrované žiadne údaje. Asymetrický kryptosystém. Vlastník určitej informácie sa nazýva hlavný server. Je tu aj zóna, ktorá by mala byť zabezpečená. Každý záznam je podpísaný súkromným kľúčom. Autenticitu a integritu možno overiť pomocou verejného kľúča. Rozšírenie EDNS uprednostňuje dnssec. Pomocou tohto rozšírenia možno použiť ďalšie parametre. Týmto rozšírením sa tiež ruší obmedzenie veľkosti 512 bajtov. Ak sa má prenášať kľúč alebo podpis, sú potrebné dlhšie správy DNS.
Ako funguje systém DNS?
V RR, t. j. Resource Record, sú informácie sprístupnené na adrese dnssec. Tie zabezpečujú pravosť informácií pomocou digitálneho podpisu. Vlastníkom týchto informácií je hlavný server umiestnený v zóne. To je tiež smerodajné. Pre každú zónu, ktorá má byť zabezpečená, existuje kľúč na spievanie zón, t. j. kľúč zóny. Pár sa skladá z verejného a súkromného kľúča. Verejná časť kľúča zóny je zahrnutá v súbore zóny ako záznam o prostriedku DNSKEY. Súkromný kľúč zabezpečuje, že každý jednotlivý RR je v zóne digitálne podpísaný. Na tento účel sa vyplní záznam o zdroji, ktorý je potom záznamom o zdroji RRSIG. Obsahuje podpis pre položku DNS.
Pri každej z týchto transakcií sa spolu s bežným záznamom o prostriedku odošle RRSIG-RR. V prípade prenosu v zóne ho najskôr dostanú podriadené jednotky. Ak je rozlíšenie dobré, uloží sa do vyrovnávacej pamäte. Ako posledný dostane RR revolver, ktorý oň požiadal. Pomocou verejného kľúča zóny je možné overiť podpis.
Hodnotenie
V prípade dnssec sú resolvery DNS koncové zariadenia, ako napríklad počítač alebo smartfón, na ktorých nie je možné overiť záznamy. Stub resolvery sú jednoducho zostavené programy, ktoré dokážu úplne preložiť názov. Aj v rekurzívnom mennom serveri. Na preloženie tohto názvu odošle menný server požiadavku na menný server v miestnej sieti alebo aj v sieti ISPvýrazní poskytovatelia internetových služieb.
Nastaví sa bit DO, ktorý môže informovať resolver menného servera, že záznam sa má overiť. Stubresolver musí podporovať rozšírenie EDNS z dnssec. Takže server môže byť tiež konfigurovaný. To znamená, že validáciu je možné vykonať vždy.
To nezávisí od obsahu a prítomnosti bitu DO. Ak server vráti všeobecnú chybu, niečo sa pokazilo. Ak bola úspešná, server vráti odpoveď s bitom AD. AD znamená overené údaje. V prípade stub resolvera nie je možné určiť, či bola chyba vyvolaná neúspešnou validáciou, alebo má inú príčinu. Príčinou môže byť zlyhanie siete alebo zlyhanie menného servera v požadovanom názve domény.