Что такое DNSSEC. DNSSEC простыми словами

DNSSEC —

простыми словами

расширение для DNS, позволяющее подписывать ответы от сервера цифровой подписью. Необходимо для защиты передаваемой информации от подмены третьей стороной.

Для создания подписи используются следующие ключи:

KSK (Key Signing key) — мастер ключ или ключ для подписи других ключей.
ZSK (Zone Signing Key) — ключ для подписи зоны.

Запись с цифровой подписью имеет обозначение RRSIG.

Проверка

Проверить, отдает ли сервер запись с цифровой подписью можно утилитой dig, например:

dig zonemaster.iis.se +dnssec

В Windows с помощью Powershell:

resolve-dnsname -name zonemaster.iis.se -type A -dnssecok

Пример ответа без dnssec:

Name Type TTL Section IPAddress
---- ---- --- ------- ---------
mail.ru A 15 Answer 217.69.139.201

Пример ответа с dnssec:

Name Type TTL Section IPAddress
---- ---- --- ------- ---------
zonemaster.iis.se A 27 Answer 79.99.1.121

Name : zonemaster.iis.se
QueryType : RRSIG
TTL : 27
Section : Answer
TypeCovered : A
Algorithm : RSA_SHA1
LabelCount : 3
OriginalTtl : 60
Expiration : 19.10.2018 8:55:01
Signed : 09.10.2018 8:55:01
Signer : iis.se
Signature : {89, 253, 152, 27...}

Также существуют онлайн сервисы для тестирования DNSSEC, например, на сайте www.icann.org.

Подробнее о DNSSEC на Википедии

Встречается в статьях

Мини-инструкции:

Настройка защиты DNS ответов от BIND при помощи DNSSEC

Что такое DNSSEC

Встречается в статьях

Мини-инструкции:

Другие термины