De modo resumido:
- A autenticidade e integridade são providas pela assinatura dos Conjuntos de registros DNS do mesmo tipo (Resource Records Sets – RRset) com uma chave privada.
- Zonas delegadas (filhas) assinam seus próprios RRsets com sua chave privada.
- O registro DS (DS-Record) na zona pai é o hash da chave pública (DNSKEY) da zona filha. Portanto serve para assegurar autenticidade à delegação da zona, indicando qual chave pública pode ser utilizada ler os RRSIGs (assinaturas de RRset).
- A chave pública é usada para verificar RRSIGs, possibilitando a leitura dos RRsets.
- Autenticidade da não existência (NSEC ou NSEC3) de um nome ou tipo provida por uma cadeia de registros que aponta para o próximo em uma sequência canônica.
RFC6840 – Notas sobre implantacao do DNSSEC – https://tools.ietf.org/html/rfc6840
RFC6781 – Práticas Operacionais do servico DNSSEC – https://tools.ietf.org/html/rfc6781
https://blog.cloudflare.com/dnssec-an-introduction/
https://www.cloudflare.com/dnssec/how-dnssec-works/
https://www.cloudflare.com/dnssec/ecdsa-and-dnssec/