Hogy működik a DNSSEC?

A domain név rendszer (DNS) olyan mint az internet telefonkönyve: megmondja a számítógépeknek, hogy hova küldjenek és honnan szerezzenek információt. Azonban sajnálatos módos elfogad minden egyes megadott címet, anélkül, hogy megkérdőjelezné őket. Az e-mail szerverek a DNS-t használják az üzenetek útvonalának kijelölésénél, ez pedig azt jelenti, hogy ki vannak téve a DNS infrastruktúra biztonsági sebezhetőségeinek.

Ennek a problémának a megoldását DNSSEC-nek hívják. A DNSSEC hozzáad egy biztonsági réteget a DNS-hez azzal, hogy előírja a hitelesítést. A DNSSEC azáltal, hogy kriptografikus aláírásokat ad hozzá a már létező DNS rekordokhoz, egy biztonságos domain név rendszert hoz létre. Ezek a digitális aláírások a DNS névszerveren tárolódnak el, az olyan gyakori rekord típusok mellett, mint az A, AAAA, MX, CNAME, stb. Azáltal, hogy ellenőrzésre kerül a hozzá rendelt aláírás, meg lehet állapítani, hogy a kért DNS rekord valóban a hiteles névszerveréről jön-e, nem lett eltérítve út közben és nem hamis rekordokat ad át.

Az aláírás hitelesítésének megkönnyítéséhez a DNSSEC az alábbi új, DNS rekord típusokat alkalmazza:

  • RRSIG – Kriptografikus aláírást tartalmaz.
  • DNSKEY – Tartalmaz egy publikus kulcsot.
  • DS – Egy delegált zóna DNSSEC aláírókulcsának meghatározására szolgál.
  • NSEC és NSEC3 – Egy név nem létezését igazolják.

Hasonlóan a HTTPS-hez, a DNSSEC egy hozzáadott biztonsági réteget alkalmaz azzal, hogy lehetővé teszi a hitelesített válaszokat egy olyan protokoll esetében, ami e nélkül nem lenne biztonságos. Viszont amíg a HTTPS a forgalmat titkosítja, hogy senki se tudja nyomon követni az internetes tevékenységet, addig a DNSSEC aláírja a válaszokat, hogy fel lehessen fedezni a hamis információkat. A DNSSEC egy valós problémára kínál megoldást, a titkosítás implementálásának szüksége nélkül.