Что такое DNSSEC

Обновлено Обновлено: Опубликовано Опубликовано:
DNSSEC —
простыми словами

расширение для DNS, позволяющее подписывать ответы от сервера цифровой подписью. Необходимо для защиты передаваемой информации от подмены третьей стороной.

Для создания подписи используются следующие ключи:

  • KSK (Key Signing key) — мастер ключ или ключ для подписи других ключей.
  • ZSK (Zone Signing Key) — ключ для подписи зоны.

Запись с цифровой подписью имеет обозначение RRSIG.

Проверка

Проверить, отдает ли сервер запись с цифровой подписью можно утилитой dig, например:

dig zonemaster.iis.se +dnssec

В Windows с помощью Powershell:

resolve-dnsname -name zonemaster.iis.se -type A -dnssecok

Пример ответа без dnssec:

Name        Type   TTL   Section    IPAddress
----        ----   ---   -------    ---------
mail.ru     A      15    Answer     217.69.139.201

Пример ответа с dnssec:

Name                Type   TTL   Section    IPAddress
----                ----   ---   -------    ---------
zonemaster.iis.se   A      27    Answer     79.99.1.121

Name        : zonemaster.iis.se
QueryType   : RRSIG
TTL         : 27
Section     : Answer
TypeCovered : A
Algorithm   : RSA_SHA1
LabelCount  : 3
OriginalTtl : 60
Expiration  : 19.10.2018 8:55:01
Signed      : 09.10.2018 8:55:01
Signer      : iis.se
Signature   : {89, 253, 152, 27...}

Также существуют онлайн сервисы для тестирования DNSSEC, например, на сайте www.icann.org.

Подробнее о DNSSEC на Википедии

Встречается в статьях

Мини-инструкции:

  1. Настройка защиты DNS ответов от BIND при помощи DNSSEC
Дмитрий Моск
— IT-специалист.
Настройка серверов, компьютерная помощь.

Другие термины

Дистрибутив   DMARC   YouTube   Etcd   Термопаста   Mail.ru   ИБП (UPS)   ISA Server   Маска сети   Iptables   Mikrotik   Root   DNSSEC   Ethernet   Веб-сервер   RAW (формат)   Redis   Jenkins   ClamAV   Maven  
.....

Реклама