Hoppa till innehåll 
Säkerhetstillägg för domännamnssystem
dnssec är en uppsättning standarder inom Internetsom ger en garanti för säkerhetsmekanismer. Dessa är också beroende av äktheten och integriteten hos den Uppgifter. En deltagare i dnssec kan verifiera vissa zonuppgifter. Detta kan också kontrollera om DNS-zondata är identiska med de data som en skapare har fått tillstånd av zonen.
Ingen kryptering av uppgifterna
Dnssec utvecklades för att bekämpa cache poisoning. Digitala signaturer säkras under överföringen av resursposter. Autentisering sker aldrig på servrarna eller klienterna. Med dnssec krypteras inga data. Det asymmetriska kryptosystemet. Ägaren av en viss information kallas masterserver. Där finns också den zon som ska säkras. Varje enskild post signeras med en privat nyckel eller hemlig nyckel. Autenticitet och integritet kan valideras med en offentlig nyckel. Tillägget EDNS föredras av dnssec. Ytterligare parametrar kan användas med detta tillägg. Storleksbegränsningen på 512 bytes tas också bort med detta tillägg. Längre DNS-meddelanden är nödvändiga om en nyckel eller en signatur ska överföras.
Hur fungerar DNS?
I RR, dvs. Resource Record, görs informationen tillgänglig på dnssec. De säkerställer informationens äkthet med en digital signatur. Huvudservern i zonen är ägare till denna information. Detta är också auktoritativt. För varje zon som ska säkras finns det en zonindelningsnyckel, dvs. en zonnyckel. Paret består av offentliga och privata nycklar. Den offentliga delen av zonnyckeln ingår i zonfilen som en DNSKEY-resurspost. Den privata nyckeln säkerställer att varje enskilt RR undertecknas digitalt i zonen. För detta ändamål fylls en resurspost i, som sedan blir RRSIG-resurspost. Den innehåller signaturen för DNS-posten.
För var och en av dessa transaktioner skickas en RRSIG-RR tillsammans med den normala resursposten. Vid en överföring i zonen får slavarna den först. Om upplösningen är bra lagras den sedan i en cache. Den sista som får RR är den revolver som begärde den. Med den offentliga zonnyckeln kan signaturen valideras.
Utvärderingen
Med dnssec är DNS-resolverna de slutenheter, t.ex. en dator eller en smartphone, där posterna inte kan valideras. Stub resolvers är helt enkelt byggda program som kan lösa upp ett namn fullständigt. Även i en rekursiv namnserver. För att lösa upp namnet skickar namnservern en begäran till en namnserver i det lokala nätverket, eller även i nätverket för den ISPuttalade Internetleverantörer.
En DO-bit sätts, vilket kan informera namnserverns resolver om att posten ska valideras. Stub-resolver måste dock ha stöd för EDNS-förlängningen av dnssec för detta. På detta sätt kan även servern skyddas. Detta innebär att valideringen alltid kan genomföras.
Detta är oberoende av innehållet och förekomsten av DO-biten. Om servern returnerar ett allmänt fel har något gått fel. Om det lyckades returnerar servern ett AD bit-svar. AD betyder autentiserade data. För en stub resolver är det omöjligt att avgöra om felet orsakades av den misslyckade valideringen eller av någon annan orsak. Orsaken kan vara ett nätverksfel eller ett fel på namnservern i det begärda domännamnet.
