Доменные имена

Что такое DNSSEC?

DNSSEC - это расширение системы доменных имен, которое гарантирует аутентификацию данных DNS и их целостность. Иными словами, DNSSEC обеспечивает безопасность клиентов от фальшивых DNS данных.

Как работает DNSSEC?

Все ответы от DNSSEC имеют подпись с криптографическим ключом. Для каждого домена (от корневого домена до домена пользователя) существует специальная пара ключей: публичный и приватный ключи. Информация о ключах хранится на первичном DNS-сервере. Закрытый ключ используется для подписи домена после каждого изменения. Цифровая подпись открытого ключа публикуется в Интернете для верификации; в родительском домене указывается DS-запись ("Designated Signer"). Так формируется цепочка доверия: зная открытый ключ домена более высокого уровня можно проверить и подтвердить ключи доменов нижнего уровня.

Как проверить, что домен имеет подпись DNSSEC?

При проверке домена командой dig у такого домена появляются строки "RRSIG DS". Домены с подписью DNSSEC можно распознать также по дополнительной информации, которая отображается в web-броузере (зеленый ключ в строке адресе). Кроме того, проверить всю цепочку доверия можно на странице "DNS visualization tool".

Back