Jak funguje systém DNSSEC

DNSSEC zvyšuje bezpečnost při používání DNS tím, že zabraňuje podvržení falešných, pozměněných či neúplných údajů o doménových jménech zavedením systému elektronických podpisů zónových záznamů.

DNSSET je rozšíření stávajícího systému DNS, které je však zpětně kompatibilní. Obě varianty DNS i DNSSEC tedy fungují současně. O DNSEC je možné uvažovat zatím pouze u .cz a ENUM domén.

Pro zprovoznění DNSSEC u konkrétní domény, je nutné správným způsobem zaregistrovat objekt KEYSET, který bude uveden u registrace domény, nebo připojen k doméně ve změnovém formuláři.

KEYSET obsahuje odkazy na 1 až 10 kontaktů, jež mohou měnit buďto samotný KEYSET nebo u dané domény KEYSET odstranit či vyměnit za jiný.

Dále KEYSET obsahuje 1 až 9 záznamů typu Delegation Signer (DS). DS záznam pak obsahuje zejména hash veřejného klíče (SHA-1), kterým nameserver podepisuje zónový záznam dané domény.

Hodnota Algoritmus u DS záznamu identifikuje použitý bezpečnostní algoritmus. Význam jednotlivých hodnot naleznete zde: http://www.bind9.net/dns-sec-algorithm-numbers

Další doporučené zdroje: