Система проверки целостности данных DNSSEC работает на основе криптографических подписей. 2 Она позволяет убедиться, что данные не были изменены на пути от авторитативного сервера, а также получена именно та информация, которая опубликована в доменной зоне её администратором. 4

Процесс работы: 1

1. Администратор домена генерирует пару криптографических ключей: закрытый ключ (KSK) для подписи DNSKEY записей и закрытый ключ (ZSK) для подписи всех остальных записей в зоне. 1
2. Открытая часть KSK публикуется в DNS в виде DS-записи и передаётся в родительскую зону для формирования цепочки доверия. 1
3. Все остальные записи в зоне подписываются ZSK и публикуются в DNS вместе с подписью в поле RRSIG. 1 Ключи DNSKEY также подписываются и публикуются. 1
4. При запросе DNS-данных резолвер сверяет подписи открытыми ключами из DNS. 1 Если подпись корректна, данные подлинные. 1

Так формируется цепочка доверия от корневого домена до нужного сайта. 1 Если подпись не действительна, DNS-клиент предполагает, что произошла атака, отбрасывает данные и возвращает ошибку пользователю. 2