互联网上的设备或机器是通过IP地址或通过名称来识别的,这些名称必须是唯一的,以便正常运行。DNS系统(域名系统)负责建立名称和IP地址之间的对应关系。这一原始程序不包括安全方法,这就是为什么互联网名称与数字地址分配机构(ICANN)多年来一直在推动大规模实施一套扩展程序,其基础是一种被称为DNSSEC的非对称加密。
为此,西班牙域名注册机构负责管理对应于西班牙的国家代码下的互联网域名注册的单位,一段时间以来一直在实施一系列的附加技术和程序,以提高服务的质量。这些附加值之一是根据国际社会互联网工程任务组(IETF)在题为 "DNSSEC政策和DNSSEC实践声明的框架 "的文件征求意见稿(RFC 6851)中制定的准则,实施DNSSEC安全协议,其中包含一份详细的技术方面和注意事项清单。
DNSSEC利用加密技术为DNS增加了完整性和真实性。因此,可以验证 "域名→IP地址 "的解析是合法的,并得到了域名负责人的授权。它也可以被验证,它没有被沿途修改。
DNSSEC利用了当前DNS层次结构中相同的授权和信任关系。".es "域名必须签署.ES并从DNS根服务器获得授权。
如何验证和维护数据的完整性?
DNSSEC使用非对称公钥加密技术,以确保用一把钥匙签署的东西的作者身份可以用另一把钥匙验证。为此,每个域都有一个公钥,它被分发(DS记录)并使用DNS(DNSKEY记录)发布在安全域的区域。记录是通过对照分布式公钥检查数字签名来验证的。
什么是KSK和ZSK密钥?
有两个密钥用于签署记录。KSK(密钥签名密钥)和ZSK(区域签名密钥)。
KSK密钥在父区将被 "报告 "为DS(对于根区的".es")。它的功能是签署区域密钥(ZSK),其余的域名记录都是用它来签署的。
ZSK密钥签署了该区的所有记录。一般来说,这个密钥的旋转比KSK的旋转要高,特别是因为当你想改变父区的时候,没有必要修改它。只需生成一个新的,并用KSK签名,只需告知我们DNS区域的变化。
从技术角度看,一个密钥和另一个密钥之间没有相关区别。区别在于它的使用。通过拥有两个不同的密钥,使用KSK改变ZSK实际上是通过DNSSEC工具自动完成的,不需要改变父区。
什么是安全扩展?
这些安全扩展为当前的DNS协议增加了一组记录和修改,包括:
- DNSKEY(DNS公钥):DNS公钥
- RRSIG(资源记录签名):记录的数字签名。
- DS(委托签名):一个DNSKEY的哈希值
- NSEC/NSEC3(下一个安全):用于拒绝存在
- NSEC3PARAM: NSEC3配置参数
在协议修改方面,对每一次DNS查询都包括调用和记录请求,以实现域名认证。
什么是信任链?
信任链由一系列的DNSKEY(公钥)和DS(委托签名者)记录组成,允许在域之间建立信任关系。
这样就可以用一个公钥对属于这个链的任何域进行验证。为了实现这一点,DS记录是由DNSKEY记录生成的哈希值(生成几乎唯一代表文件、记录或文件的密钥的函数或方法),它被公布在父域。例如,域名yourbrand.es及其相关的密钥使我们能够生成其DS记录并发布在域名.es中,并用域名.es的公钥来验证域名yourbrand.es。
作为终端用户,我需要做什么来用 DNSSEC 保护自己?
要使用DNSSEC记录验证,您必须拥有与该系统兼容的设备,并与拥有启用验证功能的递归DNS服务器的DNS提供商签订服务合同。
如果DNS记录被查询,而DNSSEC验证失败会怎样?
当启用了DNSSEC验证的递归服务器收到一个被操纵或伪造的DNS响应时,要求进行名称解析的客户没有收到任何记录,而是收到一个SERVFAIL错误代码(RCODE),意味着对查询的回答出现了问题。
作为一个域名的所有者,我必须遵循哪些步骤才能使该域名使用 DNSSEC?
为了使域名得到DNSSEC的保护,可用的权威DNS服务器必须发布签名的域名。
目前,希望实施DNSSEC的.ES域名的每个持有人必须在他们控制的区域内这样做,创建一个公共密钥。这个密钥必须发送给西班牙域名注册机构,后者将签署这个密钥并建立一个从.ES到域名的信任链。
