Что такое DNSSEC

Обновлено Обновлено: Опубликовано Опубликовано:

DNSSEC —
простыми словами

расширение для DNS, позволяющее подписывать ответы от сервера цифровой подписью. Необходимо для защиты передаваемой информации от подмены третьей стороной.

Для создания подписи используются следующие ключи:

  • KSK (Key Signing key) — мастер ключ или ключ для подписи других ключей.
  • ZSK (Zone Signing Key) — ключ для подписи зоны.

Запись с цифровой подписью имеет обозначение RRSIG.

Проверка

Проверить, отдает ли сервер запись с цифровой подписью можно утилитой dig, например:

dig zonemaster.iis.se +dnssec

В Windows с помощью Powershell:

resolve-dnsname -name zonemaster.iis.se -type A -dnssecok

Пример ответа без dnssec:

Name        Type   TTL   Section    IPAddress
----        ----   ---   -------    ---------
mail.ru     A      15    Answer     217.69.139.201

Пример ответа с dnssec:

Name                Type   TTL   Section    IPAddress
----                ----   ---   -------    ---------
zonemaster.iis.se   A      27    Answer     79.99.1.121

Name        : zonemaster.iis.se
QueryType   : RRSIG
TTL         : 27
Section     : Answer
TypeCovered : A
Algorithm   : RSA_SHA1
LabelCount  : 3
OriginalTtl : 60
Expiration  : 19.10.2018 8:55:01
Signed      : 09.10.2018 8:55:01
Signer      : iis.se
Signature   : {89, 253, 152, 27...}

Также существуют онлайн сервисы для тестирования DNSSEC, например, на сайте www.icann.org.

Подробнее о DNSSEC на Википедии



Дмитрий Моск
— IT-специалист.
Настройка серверов, услуги DevOps.

Другие термины

Root   ISA Server   Zookeeper   Hadoop   OOM Killer   Аккаунт   Тачпад   MBR   SSD   Сервер   DKIM   DNS   LXC/LXD   SoftEther   IAX   Логин   Virtualbox   3proxy   Терминальный сервер   Jira  
.....

Реклама