DNSSEC
Что такое DNSSEC?
DNSSECНабор расширений DNS, который использует цифровые подписи, чтобы резолверы могли проверить подлинность и целостность DNS-записей.
DNSSEC (Domain Name System Security Extensions) добавляет к DNS-записям криптографические подписи, чтобы резолверы могли убедиться, что ответ получен из легитимной зоны и не был изменён по пути. Каждая зона подписывает свои записи закрытым ключом и публикует соответствующий открытый ключ в записях DNSKEY, а цепочка доверия выстраивается от корневой зоны через записи DS на каждой делегации. Проверяющие резолверы отбрасывают ответы с неверной или отсутствующей подписью, что нейтрализует отравление кэша DNS и подмену на пути. DNSSEC не обеспечивает конфиденциальности и должен сочетаться с DoH или DoT, чтобы скрыть запросы от наблюдателей.
● Примеры
- 01
Банк подписывает свою зону, и резолверы отбрасывают поддельные записи A, полученные из отравленного кэша.
- 02
Реестры доменов верхнего уровня публикуют записи DS, образуя цепочку доверия для делегированных зон.
● Частые вопросы
Что такое DNSSEC?
Набор расширений DNS, который использует цифровые подписи, чтобы резолверы могли проверить подлинность и целостность DNS-записей. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает DNSSEC?
Набор расширений DNS, который использует цифровые подписи, чтобы резолверы могли проверить подлинность и целостность DNS-записей.
Как защититься от DNSSEC?
Защита от DNSSEC обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DNSSEC?
Распространённые альтернативные названия: Расширения безопасности DNS.