extensia DNSSEC către serverul DNS pentru a îmbunătăți siguranța, linuxoid

Aproape 25 de ani de cereri DNS nu sunt considerate sigure, dar după introducerea DNSSEC pe serverele rădăcină, această problemă va fi rezolvată.

De ce avem nevoie de DNSSEC?

caracteristici DNSSEC

RFC 4033 - Securitate DNS Introducere și Cerințe - Introducere și condiții generale;
RFC 4034 - Înregistrări de resurse pentru extensiile de securitate DNS - descrierea extensiilor la înregistrările de resurse DNS;
RFC 4035 - Protocolul Modificări pentru extensiile de securitate DNS - modificări ale protocolului DNS.

RRSIG (Resource înregistrare Semnătură) - semnătura digitală și informațiile aferente (un interval de timp, un algoritm de determinare a tag-ul asociat DNSKEY, etc.);
DNSKEY (DNS Public Key) - o cheie publică, care este utilizat de client pentru a verifica semnătura;
DS (Delegația Semnatar) - câmp opțional este utilizat în cazurile în care este necesar pentru a permite verificarea de zone-cheie de autentificare pentru copii publice pentru organizarea lanțului de încredere;
DLV - similar cu cel anterior, dar permite autentificarea pentru toate domeniile descrise în acestea;
NSEC (Urmatoarea Secure) - aceste tipuri de înregistrări de resurse care există în acest domeniu;

Detaliu acestea sunt discutate în RFC 4034. domeniu Astfel DNSKEY cu excepția tastei cuprinde trei intrări - pavilion (16 poziții setate la „1“ a 7-bit indică faptul că înregistrarea conține o cheie zonă DNS) protocol (numai valoarea 3) și algoritmul. Lista algoritmilor acceptate este prezentată în Anexa A.1 RFC 4034 - RSA / MD5, Diffie-Hellman, DSA / SHA-1, eliptic Curve DSA (ECDSA) și RSA / SHA-1. Două câmpuri sunt marcate ca private și vă permit să utilizați alți algoritmi în decizii separate, atunci când este necesar.
În plus față de RFC valid în prezent 5702, care a adăugat algoritmi RSA / SHA-256 și RSA / SHA-512. Ca rezultat, DNSKEY ar putea arata ca aceasta (numărul "5" pe poziția a treia - RSA / SHA-1):

example.com. ÎN DNSKEY 7200 256 3 mai (cheia publica)