Technický popis DNSSEC

Jak DNSSEC funguje

DNSSEC je rozšíření systému DNS, které je definované v RFC 4033. Zóny se podepisují pomocí klíčů. Nepodepisuje se každý záznam, ale sety záznamů (RRset - resource record set). Set záznamů jsou například MX záznamy.

Po podepsání zóny se do ní přidají záznamy RRsig, což jsou záznamy, které používá validující resolver k ověření pravosti podpisu dotázaného záznamu.

V systému DNSSEC jsou dva druhy klíčů a vkládají se do zón jako DNSKEY záznamy.

  1. ZSK - Zone signing key - tento klíč se používá pro podepisování RRsetů. Velikost klíče bývá obvykle 1024 nebo 2048 bitů a jeho výměna by měla probíhat jednou za 3 měsíce.
  2. KSK - Key signing key - tento klíč se používá pro podepisování DNSKEY záznamů, čili pro podepisování klíčů. Jeho velikost se doporučuje používat 4096 bitů, a jeho výměna by měla probíhat minimálně jednou ročně.

Aby bylo možné ověřit pravost klíčů (sestavit takzvaný řetěz důvěry), do nadřazené zóny (např. .cz) se prostřednictvím KEYSETu deleguje DS set. DS set je hash vzniklý kombinací KSK a jména zóny. Stejně tak zóna .cz deleguje svůj DS set do nadřazené kořenové zóny.

Technické parametry

Technická data naší implementace DNSSEC.

  • ZSK: Algoritmus RSA SHA1 NSEC3, velikost klíče 2048, platnost klíče 3 měsíce
  • KSK: Algoritmus RSA SHA1 NSEC3, velikost klíče 4096, platnost klíče 1 rok

 

Jakékoliv kopírování, publikování nebo šíření obsahu je výslovně zakázáno bez předchozího písemného souhlasu společnosti ONEsolution s.r.o.
Domény
» Bezpečné domény - DNSSEC
» Technický popis DNSSEC
» .CZ domény
» .EU domény
» Mezinárodní/generické domény
» .SK domény
» Jiné domény
Související
» Jak mohu používat zabezpečení DNSSEC?



ONEbit.cz webhosting