Принципы работы

В основе действие протокола DNSSEC лежит метод цифровой подписи, который обеспечивает неприкосновенность данных в системе DNS.

Вся информация о защищенном домене RU в системе DNSSEC определенным образом зашифрована, поэтому может быть изменена только при помощи закрытого ключа шифрования. В процессе защищенного делегирования домена Вы генерируете пару ключей. Информация о ключах хранится на первичном DNS-сервере. Закрытый ключ используется для подписи зоны после каждого изменения. Цифровая подпись закрытого ключа (DS-запись) передается администратору родительской зоны (в данном случае – RU) и подписывается его закрытым ключом. Таким образом организуется цепочка доверия. Зная открытый ключ администратора родительской зоны можно проверить валидность открытого ключа любой из дочерних зон.

Теперь, получив доступ к файлам с описанием домена на первичном или вторичном серверах DNS или во время передачи данных между серверами, злоумышленник не сможет внести изменения, так как не является владельцем закрытого ключа — все несанкционированные изменения файлов будут отброшены как недостоверные. Так же ни к чему не приведет попытка злоумышленника послать динамический запрос на обновление данных о домене от имени другой системы.

Кэширующие сервера провайдера (организации) и пользовательские системы (резолверы) также проверяют достоверность изменений, используя открытый ключ.