Как работает система проверки целостности данных DNSSEC?

Система проверки целостности данных DNSSEC работает на основе криптографических подписей. www.securitylab.ru Она позволяет убедиться, что данные не были изменены на пути от авторитативного сервера, а также получена именно та информация, которая опубликована в доменной зоне её администратором. cctld.ru

Процесс работы: www.computerra.ru

1. Администратор домена генерирует пару криптографических ключей: закрытый ключ (KSK) для подписи DNSKEY записей и закрытый ключ (ZSK) для подписи всех остальных записей в зоне. www.computerra.ru
2. Открытая часть KSK публикуется в DNS в виде DS-записи и передаётся в родительскую зону для формирования цепочки доверия. www.computerra.ru
3. Все остальные записи в зоне подписываются ZSK и публикуются в DNS вместе с подписью в поле RRSIG. www.computerra.ru Ключи DNSKEY также подписываются и публикуются. www.computerra.ru
4. При запросе DNS-данных резолвер сверяет подписи открытыми ключами из DNS. www.computerra.ru Если подпись корректна, данные подлинные. www.computerra.ru

Так формируется цепочка доверия от корневого домена до нужного сайта. www.computerra.ru Если подпись не действительна, DNS-клиент предполагает, что произошла атака, отбрасывает данные и возвращает ошибку пользователю. www.securitylab.ru