Что такое DNSSEC

Обновлено Обновлено: Опубликовано Опубликовано:
DNSSEC —
простыми словами

расширение для DNS, позволяющее подписывать ответы от сервера цифровой подписью. Необходимо для защиты передаваемой информации от подмены третьей стороной.

Для создания подписи используются следующие ключи:

  • KSK (Key Signing key) — мастер ключ или ключ для подписи других ключей.
  • ZSK (Zone Signing Key) — ключ для подписи зоны.

Запись с цифровой подписью имеет обозначение RRSIG.

Проверка

Проверить, отдает ли сервер запись с цифровой подписью можно утилитой dig, например:

dig zonemaster.iis.se +dnssec

В Windows с помощью Powershell:

resolve-dnsname -name zonemaster.iis.se -type A -dnssecok

Пример ответа без dnssec:

Name        Type   TTL   Section    IPAddress
----        ----   ---   -------    ---------
mail.ru     A      15    Answer     217.69.139.201

Пример ответа с dnssec:

Name                Type   TTL   Section    IPAddress
----                ----   ---   -------    ---------
zonemaster.iis.se   A      27    Answer     79.99.1.121

Name        : zonemaster.iis.se
QueryType   : RRSIG
TTL         : 27
Section     : Answer
TypeCovered : A
Algorithm   : RSA_SHA1
LabelCount  : 3
OriginalTtl : 60
Expiration  : 19.10.2018 8:55:01
Signed      : 09.10.2018 8:55:01
Signer      : iis.se
Signature   : {89, 253, 152, 27...}

Также существуют онлайн сервисы для тестирования DNSSEC, например, на сайте www.icann.org.

Подробнее о DNSSEC на Википедии

Встречается в статьях

Мини-инструкции:

  1. Как установить и настроить bind на CentOS / Rocky Linux
  2. Как установить и настроить DNS-сервер Bind на Linux Ubuntu
  3. Настройка защиты DNS ответов от BIND при помощи DNSSEC


Дмитрий Моск
— IT-специалист.
Настройка серверов, услуги DevOps.

Другие термины

LXC/LXD   Corosync   Ethernet   Rsync   IP-адрес   Jira   Proxmox VE   PAM   Active Directory   Flash Player   Prometheus   Биткоин   Дистрибутив   UNIX   Potree   IMAP   GPT (диск)   Zulip   WPA   Laravel  
.....

Реклама