O que é DNSSEC

De modo resumido:

  • A autenticidade e integridade são providas pela assinatura dos Conjuntos de registros DNS do mesmo tipo (Resource Records Sets – RRset) com uma chave privada.
  • Zonas delegadas (filhas) assinam seus próprios RRsets com sua chave privada.
  • O registro DS (DS-Record) na zona pai  é o hash da chave pública (DNSKEY) da zona filha. Portanto serve para assegurar autenticidade à delegação da zona, indicando qual chave pública pode ser utilizada ler os RRSIGs (assinaturas de RRset).
  • A chave pública é usada para verificar RRSIGs, possibilitando a leitura dos RRsets.
  • Autenticidade da não existência (NSEC ou NSEC3) de um nome ou tipo provida por uma cadeia de registros que aponta para o próximo em uma sequência canônica.

 

RFC6840 – Notas sobre implantacao do DNSSEC – https://tools.ietf.org/html/rfc6840

RFC6781 – Práticas Operacionais do servico DNSSEC – https://tools.ietf.org/html/rfc6781

NIST – Secure Domain Name System (DNS) Deployment Guide – http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-81-2.pdf

https://blog.cloudflare.com/dnssec-an-introduction/

https://www.cloudflare.com/dnssec/how-dnssec-works/

https://www.cloudflare.com/dnssec/ecdsa-and-dnssec/

DNSSEC and BIND