Yandex

Что такое DNSSEC?

Печать
  • dns, dnssec
  • 1

DNSSEC (расширения безопасности системы доменных имен) — это набор расширений системы DNS, которые добавляют способ проверки подлинности опубликованной информации DNS для данного домена.

Когда мы открываем веб-сайт в нашем браузере, прежде чем его содержимое будет загружено, DNS-резольвер выполняет проверку DNS-указателя, чтобы найти IP-адрес данного домена. Во время проверки DNS третья сторона может вмешаться, чтобы ввести в заблуждение преобразователь DNS и предоставить ему неверную информацию DNS, например другой IP-адрес для домена или поддельный домен электронной почты. Однако с помощью DNSSEC DNS-резолвер может убедиться, что полученная информация DNS действительно соответствует информации, опубликованной в зоне DNS домена.

DNSSEC проверяет подлинность информации DNS для данного домена, но, что более важно, косвенно защищает личность домена и пользователей предоставляемых им услуг.

У каждой зоны DNS есть пара открытых/закрытых ключей. Владелец зоны использует ее закрытый ключ для подписания данных DNS в этой зоне и генерирования цифровых подписей для этих данных. Рекурсивный резолвер использует открытый ключ зоны для проверки подлинности данных DNS. Резолвер проверяет подлинность цифровой подписи полученных им данных DNS. Если подлинность подтверждается, то данные DNS считаются настоящими и возвращаются пользователю. Если подпись не проходит проверку подлинности, то резолвер предполагает, что произошла атака, избавляется от данных и сообщает пользователю об ошибке.

Если коротко, то DNSSEC была разработана для обеспечения безопасности клиентов от фальшивых DNS-данных.

Подробнее о доверии к ключам DNSSEC можно прочесть на сайте icann.org.

Помог ли вам данный ответ?

Назад
spinner