Что такое DNSSEC

Обновлено Обновлено: Опубликовано Опубликовано:
DNSSEC —
простыми словами

расширение для DNS, позволяющее подписывать ответы от сервера цифровой подписью. Необходимо для защиты передаваемой информации от подмены третьей стороной.

Для создания подписи используются следующие ключи:

  • KSK (Key Signing key) — мастер ключ или ключ для подписи других ключей.
  • ZSK (Zone Signing Key) — ключ для подписи зоны.

Запись с цифровой подписью имеет обозначение RRSIG.

Проверка

Проверить, отдает ли сервер запись с цифровой подписью можно утилитой dig, например:

dig zonemaster.iis.se +dnssec

В Windows с помощью Powershell:

resolve-dnsname -name zonemaster.iis.se -type A -dnssecok

Пример ответа без dnssec:

Name        Type   TTL   Section    IPAddress
----        ----   ---   -------    ---------
mail.ru     A      15    Answer     217.69.139.201

Пример ответа с dnssec:

Name                Type   TTL   Section    IPAddress
----                ----   ---   -------    ---------
zonemaster.iis.se   A      27    Answer     79.99.1.121

Name        : zonemaster.iis.se
QueryType   : RRSIG
TTL         : 27
Section     : Answer
TypeCovered : A
Algorithm   : RSA_SHA1
LabelCount  : 3
OriginalTtl : 60
Expiration  : 19.10.2018 8:55:01
Signed      : 09.10.2018 8:55:01
Signer      : iis.se
Signature   : {89, 253, 152, 27...}

Также существуют онлайн сервисы для тестирования DNSSEC, например, на сайте www.icann.org.

Подробнее о DNSSEC на Википедии

Встречается в статьях

Мини-инструкции:

  1. Как установить и настроить bind на CentOS / Rocky Linux
  2. Как установить и настроить DNS-сервер Bind на Linux Ubuntu
  3. Настройка защиты DNS ответов от BIND при помощи DNSSEC


Дмитрий Моск
— IT-специалист.
Настройка серверов, услуги DevOps.

Другие термины

Теневые копии   Grafana Loki   PhpMyAdmin   IPerf   Блог   Маска сети   RabbitMQ   4G   OOM Killer   XML   Active Directory   Onedrive   RAW (формат)   Swagger   MongoDB   Реестр Windows   Хостинг   Домен   VideoUnion   UAC  
.....

Реклама