A DNSSEC alapvető célja a DNS-ben lévő adatok integritásának és autentikusságának biztosítása. Ez azt jelenti, hogy védi az internetes klienseket a hamisított DNS adatoktól azáltal, hogy átvizsgál és megerősít egy úgynevezett digitális, DNS-be ágyazott „kézjegyet”.
A DNSSEC így biztosítja, hogy a felhasználó valóban azzal az oldallal lépjen kapcsolatba, amelyikkel szeretett volna.
A DNSSEC egy úgynevezett nyilvános kulcs rendszert alkalmaz, hogy felülvizsgálja az adatokat úgy, hogy a már meglévő DNS rekordokhoz további rekordokat csatol. Ezek az új rekordok végzik a domain digitális aláírását.
Az így aláírt névkiszolgáló már rendelkezik nyilvános és privát kulccsal is. Ha valaki be kíván lépni, privát kulcsokon keresztül küld információkat, amit a címzett a nyilvános kulccsal aztán felold. Ha harmadik személytől származó adat érkezik be, ami nem egyezik a nyilvános kulccsal, a címzett azt nem oldja fel.
A DNSSEC által használt kulcsok
A DNSKEY-ben található kulcsokat két különböző célra használják:
- Key Signing Key (KSK-kulcs aláíró kulcs) feladata a zóna aláíró kulcsok aláírása
- Zone Signing Key, (ZSK-zóna aláíró kulcs) ezzel az egyes rekordokat írják alá
A DS (Delegation Signer) rekord áttekintése
A DS rekord a nyilvános kulcs egy egyedi szálát tartalmazza, valamint metaadatokat a kulcsról, például azt, hogy milyen algoritmusokat használ. Nézzünk egy példát:
valami.com 4200 IN 2472 13 2 16e637262zt822dafs828737sjjd2671jsym6172…
Most bontsuk külön komponensekre a DS rekordot, és vizsgáljuk meg, mit tartalmaz egy-egy rész!
- Valami.com – ez maga a domain név
- 4200 – (TTl: Time To Live) azaz a rekord élettartama
- IN – magára az internetre utal
- 2472 – Key Tag (azaz kulcscímke) a kulcs azonosítója
- 13 – Az algoritmus típusa
- 2 – A kivonat típusa
- A hosszú sor a cím végén pedig a nyilvános kulcs kivonata