Что такое DNSSEC

Обновлено Обновлено: Опубликовано Опубликовано:
DNSSEC —
простыми словами

расширение для DNS, позволяющее подписывать ответы от сервера цифровой подписью. Необходимо для защиты передаваемой информации от подмены третьей стороной.

Для создания подписи используются следующие ключи:

  • KSK (Key Signing key) — мастер ключ или ключ для подписи других ключей.
  • ZSK (Zone Signing Key) — ключ для подписи зоны.

Запись с цифровой подписью имеет обозначение RRSIG.

Проверка

Проверить, отдает ли сервер запись с цифровой подписью можно утилитой dig, например:

dig zonemaster.iis.se +dnssec

В Windows с помощью Powershell:

resolve-dnsname -name zonemaster.iis.se -type A -dnssecok

Пример ответа без dnssec:

Name        Type   TTL   Section    IPAddress
----        ----   ---   -------    ---------
mail.ru     A      15    Answer     217.69.139.201

Пример ответа с dnssec:

Name                Type   TTL   Section    IPAddress
----                ----   ---   -------    ---------
zonemaster.iis.se   A      27    Answer     79.99.1.121

Name        : zonemaster.iis.se
QueryType   : RRSIG
TTL         : 27
Section     : Answer
TypeCovered : A
Algorithm   : RSA_SHA1
LabelCount  : 3
OriginalTtl : 60
Expiration  : 19.10.2018 8:55:01
Signed      : 09.10.2018 8:55:01
Signer      : iis.se
Signature   : {89, 253, 152, 27...}

Также существуют онлайн сервисы для тестирования DNSSEC, например, на сайте www.icann.org.

Подробнее о DNSSEC на Википедии

Встречается в статьях

Мини-инструкции:

  1. Настройка защиты DNS ответов от BIND при помощи DNSSEC
Дмитрий Моск
— IT-специалист.
Настройка серверов, компьютерная помощь.

Другие термины

SPF-запись   SquidGuard   MAPI   PostfixAdmin   QoS   KVM виртуализация   Термопаста   NET Framework   Fail2ban   XML   UEFI   DNSSEC   UAC   ИБП (UPS)   VPN   Ceph   RemoteApp   OEM   API   Хостинг  
.....

Реклама