DNSSEC разширение на DNS за подобряване на безопасността, linuxoid

Почти 25 години DNS заявки не се считат за безопасни, но след въвеждането на DNSSEC за основните сървъри, този проблем ще бъде решен.

Защо имаме нужда от DNSSEC?

Особености DNSSEC

• RFC 4033 - DNS сигурност Въведение и изисквания - Въведение и общи условия;
• RFC 4034 - ресурсни записи за Разширения DNS сигурност - описание на разширения на записите на DNS ресурси;
• RFC 4035 - Протокол Модификации за Разширения DNS сигурност - промени в протокола на DNS.

• RRSIG (Resource Запис Подпис) - цифров подпис и информация, свързана с (интервал от време, един алгоритъм за определяне на маркера, свързан DNSKEY и т.н.);
• DNSKEY (DNS Public Key) - публичен ключ, който се използва от клиента за проверка на подписа;
• DS (Делегация синьор) - незадължително поле се използва в случаите, когато е необходимо, за да позволи проверки на публичен ключ за деца зони за организиране на веригата на доверие;
• DLV - подобен на предходния, но позволява разпознаване за всички области, описани в него;
• NSEC (Next Secure) - тези видове ресурсни записи, които съществуват в тази област;

Подробности обсъждането им в RFC 4034. Така DNSKEY поле с изключение на клавиша се състои от три вписвания - флага (16 позиции, посочени в "1" 7-ми бит показва, че записът съдържа ключ DNS зона) протокол (само стойността на 3) и алгоритъм. Списъкът на поддържаните алгоритми е даден в допълнение A.1 RFC 4034 - RSA / MD5, Diffie-Hellman, DSA / SHA-1, елиптична крива DSA (ECDSA) и RSA / SHA-1. Два полета са маркирани като лични и ви позволяват да използвате и други алгоритми в отделни решения, когато това е необходимо.
В допълнение към сега действащата RFC 5702, който добавя алгоритми RSA / SHA-256 и RSA / SHA-512. В резултат на това DNSKEY може да изглежда така (номер "5" на трета позиция - RSA / SHA-1):

example.com. В DNSKEY 7200 256 3 май (публичен ключ)